spurensuche: NeverEverNoSanity WebWorm

[scuba303]

also, hier (http://www.phpbb.de/viewtopic.php?t=73427) steht ja

über system() bzw. fwrite(fopen()) wird unter ausnutzung des highlight exploits versucht, eine kopie des wurmcodes zur weiteren verbreitung anzulegen

kann mir jemand sagen. wonach ich suchen muss, um eventuellen noch vorhandenen wurmcode zu finden?

[larsneo]

prinzipiell nach dateien, die nicht zum phpbb gehören
hintergrund: nachdem das zugrundeliegende perl-skript recht einfach angepasst werden kann, lässt sich kein zuverlässiger name angeben.

[scuba303]

ok...
aber wird mein server eventuell selber zum angreifer?
hatte auch besuch vom wurm. hab ein backup eingespielt. fragt sich, ob irgendwo sonst im filesystem jetzt dieses script rumgeistert und eventuell per cron oder sonstwie gestartet wird.

[larsneo]

aber wird mein server eventuell selber zum angreifer?

wenn deine installation infiziert war, warst du auch schon angreifer (und hast dafür gesorgt, dass der generationencounter im wurm hochgezählt wurde). checke alle verzeichnisse auf 'fremde' dateien, also dateien die nicht vom phpBB stammen.

[scuba303]

legt er denn im gleichen web wie das phpbb ab? also auf meiner maschine hat er eine shared hosting umgebung verwüstet.

[larsneo]

er _sollte_ die datei auf der ebene der viewtopic.php anlegen - kann unter umständen aber auch anders sein.
falls im shared webhosting keine suexec beschränkungen vorhanden bzw. die berechtigungen nicht korrekt gesetzt sind, kann der löschlauf natürlich auch von anderen präsenzen ausgegangen sein...

[scuba303]

na ja.. die logs zeigen mir schon, welches web der auslöser war.. oh man.. ich sag nur nightmare before christmas..

frage mich nur, was confixx dazu sagt, wenn ich

Code: Alles auswählen

killall -9 perl

ausführe..