Blöde Frage wegen dem Santi wurm

Balthasar · Beitrag von **Balthasar** » 28.06.2005 11:56

nur mal ne blöde Frage da ich mich mit sowas so gut wie gar nicht auskenne.

Der Santi Wurm der veraltete phpBB Boards angreift, wie verbreitet der sich eigentlich?

Die Frage zielt darauf hinaus: Ich bin in einem Spielsystem das sich deutschsprachige Micronations nennt. Da geht es um Staaten im Internet die hauptsächlich über Foren kommunizieren.

Nun hat ein solcher Staat einen anderen Staat welches noch ein veraltetes phpBB (2.0.11) einsetzt mit dem Santy Wurm angegriffen und so das Board ausser Gefecht gesetzt.

Jetzt habe ich die Befürchtung das der Wurm sich von solchen angegriffenen Boards aus weiter verbreitet. Nicht das da was in Gang gesetzt wurde das wesentlich größere Kreise zieht.....

Gruß

Balthasar

larsneo · Beitrag von **larsneo** » 28.06.2005 12:01

der santy wurm 'infiziert' alte boards boards und richtet sich dort (via highlight exploit) häuslich ein. zur weiteren verbreitung bemüht er google (bzw. andere suchmaschinen) und findet über bestimmte keyphrases ala viewtopic etc. wahllos weitere boards.
der dabei stattfindende versuch der infektion (also entsprechend formatierte highlight-anfragen) können auf aktuellen boards zwar keine schadroutine mehr starten, durch die anzahl der abfragen aber zu einem deutlich erhöhten traffic/performance verbrauch führen.

miccom · Beitrag von **miccom** » 20.03.2006 14:18

wie sehen diese highlight-anfragen eigentlich aus? so zb.?:

&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr
(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)
%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)
%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr
(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)
%252Echr(41)%252Echr(34))%252E%2527

larsneo · Beitrag von **larsneo** » 20.03.2006 14:23

%2527%

ist eins der schlüsselkriterien - damit wurde die damalige sicherheitslücke ausgenutzt...

miccom · Beitrag von **miccom** » 20.03.2006 14:31

solche anfragen können mir ja mit 2.0.19 nichts mehr anhaben, aber kann es sein das ich deswegen von zeit zu zeit einen massiv überlasteten server habe? das ist nicht nett: load average: 47.45, 22.93, 9.56 um 2:26pm (also vor 5 minuten).

larsneo · Beitrag von **larsneo** » 20.03.2006 14:35

ich blocke derartige anfragen durch modsecurity direkt auf serverebene, alternativ kannst du in der .htaccess die klassischen 'bot' anfragen blocken und mit einem 127.0.0.1 redirect trafficfrei umleiten (ein korrekter deny würde ja trotzdem den traffic für die fehlerseite generieren)

Code: Alles auswählen

# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]

miccom · Beitrag von **miccom** » 20.03.2006 14:38

den alternativen weg habe ich nun eingebaut, mal schauen obs nun ruhiger wird... danke

Beitrag von **Jensemann** » 20.03.2006 15:47

miccom hat geschrieben:solche anfragen können mir ja mit 2.0.19 nichts mehr anhaben, aber kann es sein das ich deswegen von zeit zu zeit einen massiv überlasteten server habe? das ist nicht nett: load average: 47.45, 22.93, 9.56 um 2:26pm (also vor 5 minuten).

Eine solche Load deutet aber auch auf eine massive Fehlkonfiguration des Systems hin. Häufiger Fehler: Apache nimmt den Mund zu voll und nimmt mehr Verbindungen an als er mit vertretbarer Auslastung bewältigen kann.

miccom · Beitrag von **miccom** » 20.03.2006 15:57

zw. 2 und 6 uhr morgens hatte ich 460 dieser anfragen, das sollte der apache eigentlich locker schaffen. mein system ist etwas schmalbrüstig, sempron 2200+ und 512mb ram.

und zw. 14 und 15 uhr sehe ich keine besonderheiten, ausser das 3 suchmaschinenspider gleichzeitig da waren.

ich bin aber immer offen für optimierungsvorschläge!