Neuer Wurm unterwegs

Starlord-REAL · Beitrag von **Starlord-REAL** » 10.11.2005 19:29

Seit den letzten Tagen habe ich festgestellt, das es wohl irgendjemand
auf mein Forum abgesehen hat. Inzwischen hat es sich aber herausgestellt,
das zahlreiche (und kontinuierlich mehr) andere phpBB-Foren-Betreiber
ebenfalls davon betroffen sind. Es handelt sich dabei immer um ein und
den selben Angriffsversuch mit folgender IP:

83.248.180.231

Diese IP ist natürlich gefaked, aber da versucht jemand systematisch
phpBB-Foren aufzuspüren die Schwächen haben, indem wahllos- und
naherzu pausenlos alle möglichen "system(getenv(http_php))"-Codes
an die Foren gesendet werden.

Die neueste phpBB-Version 2.0.18 wird mit dieser Attacke aber spielend
fertig. (Im Regelfall). Wer also noch nicht upgedated hat, sollte dies
aufjedenfall schleunigst tun. Der Wurm verbreitet sich inzwischen rapide.

[/list]

Xwitz · Beitrag von **Xwitz** » 10.11.2005 23:16

Hallo

Hilft die .htaccess die hier irgendwo rumliegt gegen diesen Wurm oder muß man die anpassen?

http://www.phpbb.de/viewtopic.php?t=73948

Starlord-REAL · Beitrag von **Starlord-REAL** » 10.11.2005 23:39

Ob die Anpassung der .htaccess für aktuelle Boards noch sinnvoll ist,
ist natürlich eine gute Frage. Der Code ist ja noch von 2004.

Aber die Modifikation der aktuellen "Sessions.php" in der 2.0.18 Version
bietet gerade gegen den aktuellen Wurm einen ziemlich guten Schutz.

Wer jedoch noch ältere Versionen installiert hat und sonst keine weiteren
Schutzmods hat, kann nur hoffen, von dem Wurm nicht schon bald
entdeckt zu werden, denn er kopiert sich im Moment von Board zu Board.

Bolli · Beitrag von **Bolli** » 11.11.2005 09:23

Starlord-REAL hat geschrieben: .... denn er kopiert sich im Moment von Board zu Board.

Hi, ist das eine These von Dir oder kannst Du mal eine Quelle posten?

Grüße

modbo · Beitrag von **modbo** » 11.11.2005 09:58

Cracker Tracker von cback installieren und gut

www.community.cback.de

Beitrag von **oxpus** » 11.11.2005 17:34

modbo hat geschrieben:Cracker Tracker von cback installieren und gut

www.community.cback.de

Yepp, denn der lässt nicht einen einzigen Aufruf durch, der irgend einen der nicht erlaubten oder "gefährlichen" PHP-/SQL-/Shell-Befehl beinhaltet.
So hatte der Cracker Tracker schon sicher und zuverlässig geschützt, als das phpBB noch viele unentdeckte Lücken hatte und dabei wird die DB nicht einmal ein Bit belastet

UND:
Der CrackerTracker führt gezielt Protokoll über die Attacken!

Sunny912 · Beitrag von **Sunny912** » 11.11.2005 18:34

Bei Heise (z.B.) habe ich noch nichts darüber gelesen

Starlord-REAL · Beitrag von **Starlord-REAL** » 11.11.2005 18:45

Du kannst es schon gern glauben.

Ich bin ja auch nicht von gestern und sowas macht sich nach ein paar
Tagen mehr als bemerkbar. Zumal ich das schon von mehreren anderen
Betreibern gehört hab und es sich dabei immer um ein und die
selbe IP handelt.

Wohlgemerkt speziell auf phpBB-Foren ausgerichtet und mit dem
zusätzlichen Ziel eine DC-Gruppe aus Schweden zu schädigen, indem
ihre "Kennungen" dabei verwendet werden.

Und diese Angriffe sind innerhalb der letzten Woche Tag für Tag
äußerst verstärkt aufgetreten.

Sunny912 · Beitrag von **Sunny912** » 11.11.2005 22:03

Achso...und dann ist das automatisch ein Wurm?

Starlord-REAL · Beitrag von **Starlord-REAL** » 12.11.2005 00:29

Natürlich. Weil es sich dabei um einen exploit handelt, das systematisch
vorgeht und sich dabei von Forum zu Forum kopiert. Vorausgesetzt
natürlich, es wird ein Forum gefunden, bei welchem die Attacke
wirkungsvoll ist. Aber auch wenn nicht, so sind die Suchmaschinen
noch eine zusätzlich gute Hilfe für den Wurm.

Der Wurm sendet dabei dann automatisch alle möglichen
"&highlight='.system(getenv(http_php))" Befehle aus um im jeweiligen
Foren irgendein Sicherheitsloch zu entdecken. Und da er sich dabei
durch alle möglichen Sites queer durch das Internet "schlängelt", heisst
es auch letztendlich schließlich "WURM".