Pagina 1 van 1
PhpInclude.Worm
Geplaatst: 28 dec 2004, 12:29
door nika
Santy-variant op zoek naar onveilige php-sites
Maandag, 27 december 2004 - Beveiligingsexperts waarschuwen voor nieuwe varianten van de Santy-worm die het mogelijk voorzien hebben op websites met php.
De eerste versies van Santy doken vorige week op en maakten misbruik van een lek in de gratis forumsoftware phpBB. De aanvallen van deze wormen kunnen worden geblokkeerd door een nieuwe versie van phpBB te installeren.
De nieuwe varianten, zoals Santy.C en Santy.E, misbruiken een algemener lek dat ontstaat wanneer een ontwikkelaar in zijn php-code op een onveilige manier bestanden probeert in te sluiten.
Volgens K-otik Security gedragen de nieuwe varianten zich zo verschillend van Santy.A dat het Franse beveiligingsbedrijf de worm heeft hernoemd tot 'PhpInclude.Worm'.
Santy.C en Santy.E maken in tegenstelling tot hun voorgangers geen gebruik van het phpBB-lek, maar zoeken via zoekmachines naar programmeerfouten in websites die gebruikmaken van de php-functies 'include' en 'require'.
Met deze functies kan een programmeur de inhoud van een bestand in een andere pagina verwerken. Indien hierbij de doorgegeven parameters onvoldoende worden gecontroleerd, kunnen kwaadwillenden eigen code in de bewuste site injecteren.
Volgens K-otik kan het nodig zijn om delen van de site te herschrijven om de genoemde functies op een veilige manier te gebruiken.
http://www.webwereld.nl/nieuws/20398.phtml
Dit lees ik nu op webwereld.
Na vorige week al getroffen te zijn door de Santyworm zit ik daar natuurlijk niet nogmaals op te wachten.
Maar het is mij niet duidelijk of je gevaar loopt als PHP alleen gebruikt wordt voor een forum, dat geupdate is naar 2.0.11
Re: PhpInclude.Worm
Geplaatst: 28 dec 2004, 17:22
door mosymuis
nika schreef:Maar het is mij niet duidelijk of je gevaar loopt als PHP alleen gebruikt wordt voor een forum, dat geupdate is naar 2.0.11
phpBB is hier, voor zover bekend, niet vatbaar voor.
Meer toelichting op dit bericht:
Werd er vanochtend nog gewaarschuwd voor de Santy.E worm, die slecht geprogrammeerde en beveiligde websites aanviel, waardoor alle PHP sites in principe gevaar liepen, de situatie lijkt uiteindelijk toch mee te vallen. De operatie zou het werk zijn van Braziliaanse hackers die met de malware een botnetwerk aan het opzetten zijn. De geinfecteerde hosts zouden via een IRC server bestuurd worden. Een kijkje op de server leert echter dat het om minder dan 100 bots gaat. Volgens F-Secure is het dan ook verrassend dat er niet meer infecties zijn, aangezien de worm sommige PHP sites zelfs met denial of service achtige aanvallen bestookt. Verder laat het anti-virusbedrijf weten dat de Santy varianten die tijdens kerst ontdekt zijn, eigenlijk geen onderdeel van de Santy familie uitmaken. De code is namelijk anders en ze maken misbruik van een ander lek. De enige overeenkomst zijn dat ze allemaal geschreven zijn in Perl, gericht zijn op PHP websites en zoekmachines gebruiken.
Bron: security.nl
Geplaatst: 29 dec 2004, 01:01
door CG bandicoot
Is dat soms de oorzaak dat ik parse errors krijg als ik include() codes gebruik?
Geplaatst: 29 dec 2004, 01:02
door mosymuis
Nee.
Geplaatst: 29 dec 2004, 01:07
door CG bandicoot
Rot. Wel vreemd. Het ene inlcude ie wel, het andere weer niet terwijl ze precies hetzelfde lijken krijg ik toch een parse error. En als de file of directory niet zou bestaan dan zou dat failed for inclusion wel weer verschijnen.
Maar ff ontopic. Gewoon Panda Webadmin downloaden en instaleren en je hele server is bulletproof.
http://www.pandasoftware.com/download
(geen reklame poging hoor). Nadeel is alleen dat je hem maar 15 dagen mag gebruiken en dat het dan van alle compu's verwijdert moet zijn, en ik zag nergens een mogelijkheid om hem te kopen. Vreemd