Serieuze exploit in php

Bas · Bericht door **Bas** » 22 dec 2004, 15:47

Hmmm... PERL?

*verwijderd snel perl van server*

mosymuis · Bericht door **mosymuis** » 22 dec 2004, 15:49

Dat zal gewoon de voorkeur zijn geweest van de auteur; in PHP is hetzelfde mogelijk.

cartoontje · Bericht door **cartoontje** » 22 dec 2004, 17:25

Zal er binnenkort nog een phpBB 2.0.12 komen denken jullie? De phpbug lijkt me in ieder geval erg serieus en niet alle providers willen graag updaten.

mosymuis · Bericht door **mosymuis** » 22 dec 2004, 17:29

Dat er een phpBB 2.0.12 komt is zeker niet uit te sluiten, maar dat zal niet zijn vanwege de PHP unserialize bug. Zoals we al vaker aangaven is dat géén verantwoordelijkheid van phpBB.

sebab · Bericht door **sebab** » 22 dec 2004, 17:33

http://www.codingnet.tk/ dit forum is helaas al getroven

mosymuis · Bericht door **mosymuis** » 22 dec 2004, 17:37

Onzin, deze worm maakt gebruikt van de phpBB 2.0.10 highlight bug, en niet van de PHP unserialze bug. Zelf je forum upgraden was dus voldoende geweest. Zie: klik.

Stef · Bericht door **Stef** » 22 dec 2004, 18:10

Gewoon uit nieuwsgierigheid als het is getroffen hoe los je het dan op/wat tast hij precies aan?

mosymuis · Bericht door **mosymuis** » 22 dec 2004, 18:13

De exploit is er voor het uitlezen van het config.php bestand van je server. Je database inlog gegevens liggen dan dus op straat. Wat dat betekent? Als je MySQL server connecties vanaf buitenaf toestaat (dit is in principe nooit het geval op shared webhosts) kan men zo inloggen op je database, met alle gevolgen van dien. Zo niet, dan blijft de optie over om het aangetroffen wachtwood te gebruiken op het admin account, of op de control panel software. Gebruik dus nooit hetzelfde wachtwoord voor al deze taken.

KevinS · Bericht door **KevinS** » 26 dec 2004, 13:45

Voor mensen die niet willen/kunnen updaten zou dit het lek moeten dichten in viewtopic.php
http://forum.freerider.nl/viewtopic.php?p=2795#2795

Het lek in phpBB is bij ons gedicht alleen word het forum de hele dag "geprobeerd" door de worm op het lek, waardoor wij veel meer bezoeken hebben dan normaal. Het dataverkeer stijgt met de dag en ook wij hebben een maximum...

Heeft phpbb.nl hier ook zo'n last van?

Er zijn bij de hele dag door steeds tussen de 15 en 20 mensen online iedere keer verschillende/andere IP adressen, waarvan de meeste van zoekmachines zijn. Normaal geeft de teller op de forum index zo'n 300 bezoekers per dag aan, nu 900 per dag...

Bee · Bericht door **Bee** » 26 dec 2004, 15:14

Kevinos schreef:Knipperdeknip

De oplossing stond reeds in de OP. Het virus gaat via Google naar phpBB forums, en dat veroorzaakt een enorme toename van het aantal gasten.

Stef · Bericht door **Stef** » 26 dec 2004, 15:18

Kevinos schreef:Voor mensen die niet willen/kunnen updaten zou dit het lek moeten dichten in viewtopic.php
http://forum.freerider.nl/viewtopic.php?p=2795#2795

Het lek in phpBB is bij ons gedicht alleen word het forum de hele dag "geprobeerd" door de worm op het lek

Ehm, de 2.0.7-.2.0.10 XSS bugs zitten er nog in dus helemaal veilig is het niet.

KevinS · Bericht door **KevinS** » 26 dec 2004, 15:28

Daar heb je gelijk het vervangen van de code , zoals aangegeven op bovenstaande link is alleen tegen de santy worm...

Het stijgende dataverkeer is alleen erg jammer...

Een hoop mensen hebben net zoveel bezoeken als ons en andere hebben nergens (nog) nergens last van.

mosymuis · Bericht door **mosymuis** » 27 dec 2004, 01:42

Dat Santy voor veel extra dataverkeer zorgt betwijfel ik, aangezien hij alleen GET requests verstuurt en bijvoorbeeld geen plaatjes ophaalt.

Kevinos schreef:Voor mensen die niet willen/kunnen updaten zou dit het lek moeten dichten in viewtopic.php
http://forum.freerider.nl/viewtopic.php?p=2795#2795

DennisWijnberg schreef:Ik heb een oplossing gevonden waarmee je dit tegen kunt gaan..

Blaah

dit staat gewoon op phpbb.com. Het is zelfs maar één functie die je moet weghalen. Wat een egotripper, zeg.

KevinS · Bericht door **KevinS** » 27 dec 2004, 10:41

mosymuis schreef:Dat Santy voor veel extra dataverkeer zorgt betwijfel ik, aangezien hij alleen GET requests verstuurt en bijvoorbeeld geen plaatjes ophaalt.

Dag en nacht word viewtopic.php aangeroepen door allemaal verschillende zoekmachines...
Een andere verklaring voor de enorme stijging van het dataverkeer heb ik niet...

LazyTiger · Bericht door **LazyTiger** » 27 dec 2004, 19:43

http://www.phpbbhacks.com/download/4359

_Ron_ · Bericht door **_Ron_** » 27 dec 2004, 23:00

Ongelofelijk dit........ Net een kwartier geleden 2.0.11 geïnstalleerd en nu al weer naar de KL*TE

Dit is echt niet leuk meer

mosymuis · Bericht door **mosymuis** » 28 dec 2004, 00:40

rhanff schreef:en nu al weer naar de KL*TE

Specificeer kl*te?

_Ron_ · Bericht door **_Ron_** » 28 dec 2004, 00:47

mosymuis schreef:
rhanff schreef:en nu al weer naar de KL*TE
Specificeer kl*te?

Je hebt gelijk... Ik was in m'n boosheid vergeten de aanvullende info te geven.

Ik had vanavond phpBB2.0.11 geïnstalleerd en was langzaam aan alles weer aan het installeren (portal, album, etc). Tussendoor even een backupje gemaakt.
Nadat de backup klaar was, ging ik de bestanden even controleren en zag tot mijn schrik dat alle plaatjes (b.v. subsilver\images en Aeolus\images) vernaggeld waren.
Ik kijk vervolgens naar de site en inderdaad......... vrijwel alle *.gif's waren 'bewerkt' cq. onbruikbaar.

Ik kan dus weer van voren af aan beginnen

mosymuis · Bericht door **mosymuis** » 28 dec 2004, 00:50

rhanff schreef:Ik kan dus weer van voren af aan beginnen

Hoezo dat? Opnieuw uploaden van de GIF's is geen optie?

_Ron_ · Bericht door **_Ron_** » 28 dec 2004, 00:52

mosymuis schreef:
rhanff schreef:Ik kan dus weer van voren af aan beginnen
Hoezo dat? Opnieuw uploaden van de GIF's is geen optie?

Uiteraard is dat wel een optie, maar ik ben veel te bang dat die Santy.A (of nieuwe variant) weer komt huishouden.
Ik laat de boel maar even offline, totdat deze 'storm' weer is over gewaaid.