Santy-makers niet voor één gat te vangen

Een nieuwe versie van de Santy-worm heeft er geen problemen mee dat Google de zoekacties om phpBB-fora te vinden blokkeert, zo schrijft Heise Online. Er is namelijk een nieuwe worm in omloop gebracht die gebruik maakt van Yahoo om kwetsbare fora te vinden en te infecteren. Natuurlijk zal het slechts een kwestie van tijd zijn voordat ook Yahoo deze nieuwe Santy het werk onmogelijk maakt, maar veel veiligheid zal dat niet bieden. Een nieuw virus dat gebruik maakt van een andere zoekmachine zal het werk dan waarschijnlijk weer overnemen. Vooralsnog blijft de enige optie te upgraden naar de nieuwste versie of het tijdelijk toepassen van de workaround.

phpBB Creating Communities

Door Willem Kerstholt

Feedback • 24-12-2004 14:05 35

24-12-2004 • 14:05

35

Bron: Heise Online

Lees meer

PHP-ontwikkelaars willen veiligheidsimago verbeteren
PHP-ontwikkelaars willen veiligheidsimago verbeteren Nieuws van 2 februari 2005
MySQL-worm 'MySpooler' valt servers aan
MySQL-worm 'MySpooler' valt servers aan Nieuws van 28 januari 2005
Worm vermomt zich als nieuwsbrief met actuele headlines
Worm vermomt zich als nieuwsbrief met actuele headlines Nieuws van 22 januari 2005
Anti-Santy-worm probeert phpBB-sites te repareren
Anti-Santy-worm probeert phpBB-sites te repareren Nieuws van 3 januari 2005
Santy bestookt phpBB-websites
Santy bestookt phpBB-websites Nieuws van 22 december 2004
Meer producten en artikelen
Software

Reacties (35)

-Moderatie-faq
35
34
22
3
0
7
Wijzig sortering

Sorteer op:

Weergave:
KMK 24 december 2004 14:13
Kijk zo veel dan!!
http://beta.search.msn.com/results.aspx?q=%22site+is+defaced%21%21%21+ NeverEverNoSanity+WebWorm+generation%22&FORM=QBRE
1-10 of 634,498 containing "site is defaced!!! NeverEverNoSanity WebWorm generation" (0.11 seconds)
http://news.netcraft.com/archives/2004/12/21/santy_worm_spreads_throug h_phpbb_forums.html
Guru Evi @KMK25 december 2004 22:19
Lol, op MSN kom je ZOOOOVEEL hits tegen maar als je naar pagina 11 gaat of zo dan ben je al aan het einde. Zoek eens op een deftige zoekmachine zoals Google of Yahoo of Altavista.
Thrillseeka 24 december 2004 14:09
phpBB : Critical Error

Could not connect to the database

als ik op die workaround click
RedRose @Thrillseeka24 december 2004 14:31
In viewtopic.php:

(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

Het vette gedeelte weghalen. :)


edit:
XiQ: de $ is ook niet vet, die moet je dan ook niet weghalen ;)
XiQ @RedRose24 december 2004 14:37
Het dollarteken niet weghalen, kan geen gecorrigeerde versie laten zien, lijkt een bug in T.net?
mcB @RedRose24 december 2004 15:09
$HTTP_GET_VARS ??
Hebben ze geen nieuwere code? :?
mosymuis @mcB24 december 2004 15:19
Nee, dit is zeer bewust gedaan.

phpBB heeft er gekozen om 100% compatible te zijn met PHP3, PHP4 en PHP5. Vanwege de jongste telg gebruiken ze nog de $HTTP_*_VARS arrays. In phpBB 2.0.10 hebben ze, vanwege de PHP5 release, zelfs geforceerde controle van $_* superglobals toegevoegd, waar deze worden omgezet naar de oudere benamingen. Hier zorgt men er gelijk voor dat register_globals praktisch wordt uitgeschakeld binnen phpBB.

Een weloverwogen beslissing, dus!
Flipmo2K @Thrillseeka24 december 2004 14:12
Waarschijnlijk is die database overbelast omdat iedereen die wat info over de worm wil, probeert te verbinden met phpbb.com. En dat trekt die DB waarschijnlijk niet helemaal :).

Overigens werkt de link bij mij (nu) wel, 't is alleen wat traag.
s463042 @Thrillseeka24 december 2004 14:13
gehackt ?
[NUT] 24 december 2004 14:21
De makkelijkste manier om te voorkomen dat je forum gevoelig is voor deze zaken via een zoek machine is het maken van een robots.txt in de root van je pagina en de forum dir te excluden. Daarmee voorkom je dat zoek machines deze uberhaupt zullen mee nemen in hun harvest resultaten.

Voor meer info over robots.txt zie:
http://www.google.com/search?hl=en&q=robots.txt

[edit]
Mijn onderburen hebben natuurlijk wel gelijk, het is onhandig, en het beste is om je forum software up-to-date te houden!

Een manier om dat te doen is om je in te schrijven op de opt-in mailing list van phpbb!

Zie ook:
http://www.phpbb.com/phpBB/viewtopic.php?t=249416
pietje63 @[NUT]24 december 2004 14:24
Maar wil je dat wel? Als ik een probleem heb en ik zoek via google ben ik vaak heel blij dat ik dan op een forum met een oplossing kom.
Olaf van der Spek @[NUT]24 december 2004 14:30
De makkelijkste manier om te voorkomen dat je forum gevoelig is voor deze zaken
En de beste manier is om alle software up-to-date te houden.
Daventry @[NUT]24 december 2004 14:44
Forums zijn helaas in de meeste gevallen wel dingen met veel content ... en veel verschillend content waardoor je juist door die dingen hoger komt te staan in google ;)
Thralas 24 december 2004 14:15
Als je je phpBB up to date houdt is er niets aan de hand, versie 2.0.10 en lager is vulnerable, versie 2.0.11 is al ruim een maand uit.

De Santy-schrijvers kunnen wel door blijven coden en alle zoekmachines afgaan, echter hebben de zoekmachines zo een foute 'searchstring' geblokkeerd lijkt me.

Overigens ligt nu heel de phpBB site plat :?
TD-er @Thralas24 december 2004 18:22
Het schijnt dat het een combinatieprobleem is van in elk geval phpBB, met php <4.3.10 Alleen updaten van phpBB schijnt dus niet voldoende te zijn.
Mogelijk dat dus veel meer sites/fora er last van kunnen hebben, maar phpBB is zeg maar de Windows onder de fora. Het meest gebruikt dus het meest interesant voor virusschrijvers.

Het nadeel is alleen dat hostingproviders die bijv. Plesk gebruiken niet zomaar hun PHP willen/kunnen gaan upgraden en dan hebben we het nog niet over de fora die draaien op servers van verenigingen en andere hobbyisten.

In mijn ogen kun je phpBB wat betreft de gemiddelde gebruiker vergelijken met het upgraden van je firmware van je GSM. Dat zou vrijwel geen enkele gebruiker doen, of ook maar weten hoe ze dat moeten doen, of dat ze bijhouden of het nodig is.
mosymuis @TD-er24 december 2004 23:58
Het schijnt dat het een combinatieprobleem is van in elk geval phpBB, met php <4.3.10 Alleen updaten van phpBB schijnt dus niet voldoende te zijn.
Niets van waar. Zie ook mijn reactie hieronder, phpbb.com en phpbb.nl.
kodak @Thralas24 december 2004 16:31
Ja, maar wederom wordt weer eens bewezen dat mensen dat dus niet doen.
Volgens mij helaas ook niet zo vreemd. Mensen updaten software op hun eigen pc vaak niet eens, laat staan dat ze belangstelling hebben om goed beheer te plegen op de website wat updaten van software betreft. Vaak wordt de thirdparty software er een keer opgezet, en zolang het werkt wordt er niet meer naar omgekeken. Daarbij is het bij websites ook geregeld zo dat het beheer niet eens goed geregeld is. Vaak wel wat informatie beheer betreft, maar de techniek staat in veel gevallen in een hoekje. Neem bijvoorbeeld de duizenden sites die door ingehuurde webbouwers in elkaar worden gezet, al dan niet met backsite voor het informatieve beheer. De gebruiker maakt er lekker verder gebruik van en denkt dat het allemaal in orde is. Pas bij een technisch probleem wordt eens gekeken wie er wat aan gaat doen en wanneer.
pietje63 24 december 2004 14:19
Phpbb is alweer online :-). En tja, zo'n variant was dus wel te verwachtenl Het positieve is volgens mij wel dat als het zo doorgaat over een weekje er alleen nog maar up-to-date versies van phpbb op internet staan aangezien iedereen met een oude versie het opnieuw moet installeren.
mosymuis @pietje6324 december 2004 15:49
aangezien iedereen met een oude versie het opnieuw moet installeren.
Opnieuw installeren is ruim gezegd: het heruploaden van de forum bestanden lost het probleem al op. De database kan fijn blijven zoals hij is.
ScuL 24 december 2004 15:08
Ik ben HEEL erg blij dat mijn ISP (Digitalus) mijn forum zelfstandig gepatched heeft want op het moment van uitbraak zat ik in het buitenland.. Anders was waarschijnlijk de database van 60 meg verloren gegaan (heb wel backups maar niet recent...) Na het uitkomen van dit nieuws heb ik gelijk een grote backup gedraaid die ik nu iedere 3 dagen herhaal :X

Kan niet uitstaan dat andere mensen het zo leuk vinden om het plezier van onschuldigen te bederven :(
mosymuis @ScuL24 december 2004 15:24
Ten eerste: was jij ruim een maand het land uit? Zo niet, dan was je zelf in de gelegenheid te patchen. Bovendien voert deze worm geen truucs uit op je database, hij speelt alleen een beetje met je bestanden. Normaal gesproken sla je deze zoiezo al offline op, dus echte backups hebben hier weinig mee te maken.

Feit blijft wel dat het inderdaad een nette actie is geweest van Digitalus; deden meer hosting providers dat maar. Normaal gesproken is het de verantwoordelijkheid van de gebruiker zelf, maar in dit geval is de hack in staat andere shared hosts aan te tasten en dan is ingrijpen van de host dus volledig terecht.
Wunk 24 december 2004 22:16
Ik heb vandaag alle phpBB's op al onze servers voor onze klanten ook maar even gepatched..

Voor degenen die niet zo onderlegd zijn met php of een server hebben met meerdere phpBB installs:

http://213.247.47.120/fixphpBB.sh

Voorwaarde, er moet wel slocate geinstalleerd zijn (werkt sowieso met redhat en fedora), anders moet je het script even aanpassen en locate door find oid vervangen..

Voor je 't script start even updatedb doen :)

Dit script zoekt op de server naar viewtopic.php bestanden en past ze aan met sed zodat de exploit er niet meer in zit..

<verstandige disclaimer>
Ik draag geen enkele verantwoordelijkheid voor dit script, als je iets sloopt, pech, je moet ALTIJD kijken wat er in een script staat, vooral als je 't als root uitvoert, en 't is op eigen risico enzo :P
</verstandige disclaimer>
Verwijderd 24 december 2004 14:13
Ik geloof dat de nieuwe worm ook een ddos naar phpbb heeft ingebouwd ;)
bobjuh830 24 december 2004 14:52
Zie op verschillende fora roepen dat wij nooit in enig gevaar zijn geweest omdat ze meteen na de waarschuwings mail voor over die worm hebben geupdate.

Deze vulnerability is al meer dan maand bekend en pas nadat er een worm is en er daar een waarschuwingsmailtje gestuurd word updaten ze en roepen ze dat er nooit gevaar is geweest terwijll het al meer dan maand bekend was en als mensen echt wouden ze forum zo ook konden defacen,
Verwijderd 24 december 2004 15:37
Snap de hele ophef niet zo met phpBB
Iedere invoer in een php script waar her urldecode commando word gebruikt is vurnable

Zo ook phpGB en anderen

De fout zit in PHP versie 4.3.9 en lager

Als die hostingproviders hun PHP zouden updaten naar versie 4.3.10 dan was het probleem verholpen.
mosymuis @Verwijderd24 december 2004 15:42
Ik postte het in het nieuwsbericht van woensdag ook al, men blijft deze fout maken;

Je haalt twee dingen door elkaar. De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11. Hoewel er voor beiden phpBB exploits circuleren maakt dit virus gebruik van de phpBB bug. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen.

In principe heb je dus gelijk dat veel software gevoelig is voor de PHP unserialze bug (phpBB2, Invision Board, vBulletin, Woltlab Burning Board 2.x, Serendipity Weblog, phpAds en meer), maar dat staat los van deze worm.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq