Seite 1 von 1
Blöde Frage wegen dem Santi wurm
Verfasst: 28.06.2005 11:56
von Balthasar
nur mal ne blöde Frage da ich mich mit sowas so gut wie gar nicht auskenne.
Der Santi Wurm der veraltete phpBB Boards angreift, wie verbreitet der sich eigentlich?
Die Frage zielt darauf hinaus: Ich bin in einem Spielsystem das sich deutschsprachige Micronations nennt. Da geht es um Staaten im Internet die hauptsächlich über Foren kommunizieren.
Nun hat ein solcher Staat einen anderen Staat welches noch ein veraltetes phpBB (2.0.11) einsetzt mit dem Santy Wurm angegriffen und so das Board ausser Gefecht gesetzt.
Jetzt habe ich die Befürchtung das der Wurm sich von solchen angegriffenen Boards aus weiter verbreitet. Nicht das da was in Gang gesetzt wurde das wesentlich größere Kreise zieht.....
Gruß
Balthasar
Verfasst: 28.06.2005 12:01
von larsneo
der santy wurm 'infiziert' alte boards boards und richtet sich dort (via highlight exploit) häuslich ein. zur weiteren verbreitung bemüht er google (bzw. andere suchmaschinen) und findet über bestimmte keyphrases ala viewtopic etc. wahllos weitere boards.
der dabei stattfindende versuch der infektion (also entsprechend formatierte highlight-anfragen) können auf aktuellen boards zwar keine schadroutine mehr starten, durch die anzahl der abfragen aber zu einem deutlich erhöhten traffic/performance verbrauch führen.
Verfasst: 20.03.2006 14:18
von miccom
wie sehen diese highlight-anfragen eigentlich aus? so zb.?:
&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr
(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)
%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)
%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr
(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)
%252Echr(41)%252Echr(34))%252E%2527
Verfasst: 20.03.2006 14:23
von larsneo
%2527%
ist eins der schlüsselkriterien - damit wurde die damalige sicherheitslücke ausgenutzt...
Verfasst: 20.03.2006 14:31
von miccom
solche anfragen können mir ja mit 2.0.19 nichts mehr anhaben, aber kann es sein das ich deswegen von zeit zu zeit einen massiv überlasteten server habe? das ist nicht nett: load average: 47.45, 22.93, 9.56 um 2:26pm (also vor 5 minuten).
Verfasst: 20.03.2006 14:35
von larsneo
ich blocke derartige anfragen durch modsecurity direkt auf serverebene, alternativ kannst du in der .htaccess die klassischen 'bot' anfragen blocken und mit einem 127.0.0.1 redirect trafficfrei umleiten (ein korrekter deny würde ja trotzdem den traffic für die fehlerseite generieren)
Code: Alles auswählen
# prevent access from santy webworm a-e
RewriteCond %{QUERY_STRING} ^(.*)highlight=\%2527 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=\%65\%63\%68 [OR]
RewriteCond %{QUERY_STRING} ^(.*)rush=echo [OR]
RewriteCond %{QUERY_STRING} ^(.*)wget\%20 [OR]
RewriteCond %{QUERY_STRING} ^(.*)cmd=
RewriteRule ^.*$ http://127.0.0.1/ [R,L]
Verfasst: 20.03.2006 14:38
von miccom
den alternativen weg habe ich nun eingebaut, mal schauen obs nun ruhiger wird... danke
Verfasst: 20.03.2006 15:47
von Jensemann
miccom hat geschrieben:solche anfragen können mir ja mit 2.0.19 nichts mehr anhaben, aber kann es sein das ich deswegen von zeit zu zeit einen massiv überlasteten server habe? das ist nicht nett: load average: 47.45, 22.93, 9.56 um 2:26pm (also vor 5 minuten).
Eine solche Load deutet aber auch auf eine massive Fehlkonfiguration des Systems hin. Häufiger Fehler: Apache nimmt den Mund zu voll und nimmt mehr Verbindungen an als er mit vertretbarer Auslastung bewältigen kann.
Verfasst: 20.03.2006 15:57
von miccom
zw. 2 und 6 uhr morgens hatte ich 460 dieser anfragen, das sollte der apache eigentlich locker schaffen. mein system ist etwas schmalbrüstig, sempron 2200+ und 512mb ram.
und zw. 14 und 15 uhr sehe ich keine besonderheiten, ausser das 3 suchmaschinenspider gleichzeitig da waren.
ich bin aber immer offen für optimierungsvorschläge!