Seite 1 von 10
WebWorm generation 4
Verfasst: 20.12.2004 16:29
von Xelos
Hallo Leute,
heute wurde mein kompletter Server gehackt.
Jede PHP und HTML-Datei hat folgenden Inhalt:
Code: Alles auswählen
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 4.</b></ADDRESS>
</BODY></HTML>
Kennt jemand diesen Wurm und kann mir evtl sagen, wo durch dies passierte?
Meine Version war leider noch die 2.0.10, da ich gestern abend erst gesehen hatte, dass es ein neues update gibt.
Auf dem Server lief ebenfalls noch OScommerce.
Es würde mir sehr helfen, wenn jemand mir Hinweise geben kann, wie das ganze geschen ist.
Sonst brauche ich ein Backup ja garnicht erst wieder aufzuspielen.
Gruß
Xelos
Verfasst: 20.12.2004 16:35
von larsneo
http://secunia.com/advisories/13239/
(und natürlich die diversen ankündigungen bei phpbb.de und phpbb.com)
Verfasst: 20.12.2004 19:34
von manica
Wo kriegt man einen FIX dafür?
Verfasst: 20.12.2004 19:52
von itst
Verfasst: 20.12.2004 20:33
von Oxy
Was mal wirklich interessant wäre: Gibt es irgend wo ein Skript, mit dem man sein Board auf die Lücken testen kann?
Dieses dämliche, ausgesprochen unausgereifte MOD-"Konzept" vermeidet es ja leider oftmals, dass man Patches erfolgreich einspielen kann. Wenn ich also gepatcht habe _und_ die MODs auch noch funktionieren, wüsste ich nun gerne, ob mein Board dicht ist oder nicht...
Verfasst: 20.12.2004 20:41
von LuLa
Mich interessiert es auch sehr, wie man die eigene Sicherheit testen kann.
Einfach so "bitte auf 2.0.11 updaten" reicht mir als Hinweis von den Entwicklern nicht aus.
LG
LuLa
Verfasst: 20.12.2004 20:48
von chris2000
Habe auf einer
PHORUM-3-Installation folgende HTML-Seite gefunden:
Code: Alles auswählen
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD>
<TITLE>This site is defaced!!!</TITLE>
</HEAD><BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR>
<ADDRESS><b>NeverEverNoSanity WebWorm generation 6.</b></ADDRESS>
</BODY></HTML>
<html><head><title>Phorum Error</title></head><body>Something is wrong. You need to edit common.php and select a database.</body></html>
Gestern hat die Seite definitiv noch funktioniert. Was hat es mit dem komischen Wurm auf sich? Google findet nix dazu.
Verfasst: 20.12.2004 20:57
von _Darkman_
Es gibt z.Z. auch Luecken in PHP selbst die sowas ermoeglichen.
Dazu bedarf es aber einer Software auf dem Server die angreifbar ist,
phpbb ist eine davon, andere waeren:
- Invision Board
- vBulletin
- Woltlab Burning Board 2.x
- Serendipity Weblog
- phpAds(New)
uvm...
also nicht nur phpBB o.ae. updaten, sondern auch gleich den ganzen
Server (leider haben noch nicht wirklich viele Distributionen neue
Packages released).
Regards,
Darkman
EDIT:
Betroffen sind PHP4 <= 4.3.9 und PHP5 <= 5.0.2 (bevor jemand fragt ;)
Verfasst: 20.12.2004 21:43
von Sgt. Absolom
Ist jetzt vielleicht ne dumme Frage aber kann ich meine deutsche Version von phpbb2.0.10 auch mit der englischen Version des Updates patchen? Da muss man laut Anleitung nur Codezeilen einfügen und eine Datei ausführen. Bei der deutschen Anleitung muss man erst noch ne DLL installieren damit man den "patch" Befehl ausführen kann.
Verfasst: 20.12.2004 21:45
von testit
_Darkman_ hat geschrieben:Es gibt z.Z. auch Luecken in PHP selbst die sowas ermoeglichen.
Dazu bedarf es aber einer Software auf dem Server die angreifbar ist,
phpbb ist eine davon, andere waeren:
- Invision Board
- vBulletin
- Woltlab Burning Board 2.x
- Serendipity Weblog
- phpAds(New)
Hi,
inwiefern ist denn phpAds(New) angreifbar?
Gruss
testit
uvm...
also nicht nur phpBB o.ae. updaten, sondern auch gleich den ganzen
Server (leider haben noch nicht wirklich viele Distributionen neue
Packages released).
Regards,
Darkman
EDIT:
Betroffen sind PHP4 <= 4.3.9 und PHP5 <= 5.0.2 (bevor jemand fragt
