[security] NeverEverNoSanity WebWorm

Probleme bei der regulären Arbeiten mit phpBB, Fragen zu Vorgehensweisen oder Funktionsweise sowie sonstige Fragen zu phpBB im Allgemeinen.
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Benutzeravatar
larsneo
Valued Contributor
Beiträge: 2613
Registriert: 07.03.2002 15:23
Wohnort: schwäbisch gmünd
Kontaktdaten:

[security] NeverEverNoSanity WebWorm

Beitragvon larsneo » 21.12.2004 12:40

wie die meisten ja zwischenzeitlich hoffentlich mitbekommen haben, läuft derzeit eine ziemlich massive angriffswelle auf phpBB2 boards.

an dieser stelle eine kurze erklärung, was da tatsächlich passiert:
- über google.com wird nach urls gesucht, die 'viewtopic.php' enthalten
- über system() bzw. fwrite(fopen()) wird unter ausnutzung des highlight exploits versucht, eine kopie des wurmcodes zur weiteren verbreitung anzulegen
- als schadroutine werden dateien mit endungen .htm, .php, .asp, .shtm, .jsp und .phtm durch veränderte inhalte ersetzt

ergo:
- wer phpBB 2.0.11 einsetzt, sollte aktuell nicht gefährdet sein
- wer frühere versionen einsetzt, sollte unbedingt und direkt den unter http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 beschriebenen fix anwenden (und danach baldmöglichst auf 2.0.11 aktualisieren)
- betroffene installationen sollten durch ein backup des filesystems wieder in gang gebracht werden können
gruesse aus dem wilden sueden
larsneo
..::[cms-sicherheit]::..

Sorcio
Mitglied
Beiträge: 895
Registriert: 16.11.2003 15:59

Beitragvon Sorcio » 21.12.2004 12:48

Ziemlich übel, hat schonmal jemand herausgefunden wer der Autor ist? :oops:
Mich würde es nicht wundern, wenn es jemand neidischer vond er Forensoftware Konkurrenz wäre. :D

Benutzeravatar
itst
Ehrenadmin
Beiträge: 7418
Registriert: 21.08.2001 02:00
Wohnort: Büttelborn bei Darmstadt
Kontaktdaten:

Beitragvon itst » 21.12.2004 13:08

Danke für diese Info Andreas.
Sascha A. Carlin,
phpBB.de Ehrenadministrator
:o

Cannelloni
Mitglied
Beiträge: 3
Registriert: 02.04.2005 23:23

Beitragvon Cannelloni » 02.04.2005 23:29

Hi!
Hatte das phpBB2-Forum vor einigen Jahren mal für meine Zivi-Stelle eingerichtet und seit dem wurde da nicht mehr viel getan...
Jetzt ist das Forum Opfer des Wurms geworden...
http://forum.schueca.de
Leider gibts keine Backups, aber kann man denn nicht die selbe Sicherheitslücke nutzen um das ganze wieder zurückzuändern?
Wäre für jede Hilfe dankbar, habe von sowas nicht so den Plan...
Viele Grüße

Benutzeravatar
Markus67
Vorstand
Vorstand
Beiträge: 28346
Registriert: 12.01.2004 16:02
Wohnort: Neuss
Kontaktdaten:

Beitragvon Markus67 » 02.04.2005 23:34

Hi ...

KB:gehackt

Markus

Benutzeravatar
Jan500
Ehemaliger
Beiträge: 4199
Registriert: 01.03.2003 21:32
Wohnort: Hamburg
Kontaktdaten:

Beitragvon Jan500 » 02.04.2005 23:35

die db sollte ja nicht betroffen seon oder?

wenn nicht dann mach ein backlup der db und setzt das board doch einfach neu auf und spiel das backup zurück..

Jan

Kort
Mitglied
Beiträge: 35
Registriert: 10.12.2004 21:05
Wohnort: Freiburg im Breisgau

Beitragvon Kort » 03.04.2005 08:58

Powered by phpBB 2.0.0

Okay ich sag mal nix :D

Cannelloni
Mitglied
Beiträge: 3
Registriert: 02.04.2005 23:23

Beitragvon Cannelloni » 11.04.2005 12:37

Hm, also hab das Forum neu aufgesetzt, aber wenn ich dann die DB zurückspiele is alles wieder genauso wie vorher?!...
Sollte ich evtl. irgendwelche Tabellen der DB nicht zurückspielen?

Cannelloni
Mitglied
Beiträge: 3
Registriert: 02.04.2005 23:23

Beitragvon Cannelloni » 11.04.2005 13:05

Okay, hat sich erledigt...

Als Tipp für alle die das selbe Problem haben wie ich...
Bei mir war ganz einfach ein HTML-Eintrag in einem der Forumsbezeichnungen, (phpbb_forums) und wenn man den über phpmyAdmin oder so rauslöscht ist für's erste alles wieder in Ordnung...
Das man dann evtl. noch Passwörter ändern sollte und so ist klar, aber man kommt wenigstens wieder in den Admin-Bereich und kann problemlos ein DB-Backup machen...

schlaumi
Mitglied
Beiträge: 152
Registriert: 08.04.2006 17:21

Re: [security] NeverEverNoSanity WebWorm

Beitragvon schlaumi » 05.05.2006 21:45

larsneo hat geschrieben:- wer phpBB 2.0.11 einsetzt, sollte aktuell nicht gefährdet sein


heißt das, ich soll nicht das aktuelle PHPBB 2.0.20 verwenden, sondern die (schon fast uralte ;) ) version 2.0.11? :roll:


Zurück zu „phpBB 2.0: Administration, Benutzung und Betrieb“