Hi Leute, seit gestern ist es nimmer sicher in der Welt der PHPBB Foren. Ein Forumshackscript in Perl geht zur Zeit um und befällt PHPBB betriebene Webseiten mit einem Serverseitigen Script welches alle PHP und HTML dateien durch einen andern Inhalt austauscht. Das Script bleibt temporär im Arbeitsspeicher und durchforstet die platte immer kontinuierlich um evtl. ftp rücksicherung direkt zu überschreiben. Dazu sucht es im hintergrund auf dem server per google nach anderen phpbb foren und führt dort weitere attacken aus. Zwei bekannte Nürburgring Foren sind schon betroffen, das eine fuhr PhpBB 2.0.8 und das ander 2.0.11 , bei beiden wurde der HIGHLIGHT= patch installiert welcher als sicherheitslücke genutzt wird, dennoch scheint der patch auch bei der 2.0.11 nichts zu nützen da es noch eine sicherheitslücke in PHP an sich in den Versionen unter 4.3.10 gibt. Daher habe ich gestern Abend (das war der kurze ausfall von ca. 30 minuten) mein php auf die allerneuste Version geupdatet. Warum schreibe ich das jetzt alles ? Ich hoffe das hier wir von dem Problem verschont bleiben und falls doch nicht, bitte ich euch mich nicht mit eMails oder Anrufen zu bombardieren (beim touristenfahrer.de forum stand das handy dannach nimmer still) weil ich werde das dann schon bemerken falls doch was passiert ist... Danke und schönen Tag noch ;-) Ansonsten weiterführende Infos: http://www.phpbb.de/viewtopic.php?t=73199 http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513 http://www.securityfocus.com/archive/1/384916/2004-12-17/2004-12-23/0 bye - Oliver
Das sowieso ;-) die Datenbank ist ja zum glück (noch nicht) betroffen,dauert aber bestimmt nicht lang bis das script umgeschrieben wird und da was böseres kommen wird. Na php hat selber ja 7 massive Sicherheitslücken eingeräumt und mit der 4.3.10 die wohl gestopft... mal abwarten.
Habe gerade erfahren das auch vBulletin Boards und BurninBoard Systeme ebenfalls befallen sind und im Moment reihenweise ausfallen :-( http://www.vbulletin-germany.com/forum/showthread.php?t=14682 http://www.woltlab.de/de/forum/thread.php?threadid=83249 http://www.phpbb.de/viewtopic.php?t=73199 das größte Motorsport und Online Forum hat es auch erwischt: http://www.rscnet.org :-(
Wie auf heise.de zu lesen ist wurde die Verbreitung des Wurms von Google gestoppt. Vielleicht haben wir Glück und unser heiß-geliebtes Board bleibt davon wirklich verschont Gruß Smie
Tja, ich habs über Bugtraq erfahren das man auf php 4.3.10 dringend updaten soll und während ich das grad am machen war schmierten die ersten foren schon ab ;-) perfektes timing... Aber ein paar stunden später und ich hätte meine kiste auch erstmal von dem teil cleanen müßen .. hab das perl script vom wurm hier (über den Admin vom touristenfahrer.de forum bekommen) und ist recht simpel gestrickt aber effektiv. Aber wenn man mal rausbekommen würde wer das teil in die welt gesetzt hat, müßte man mal freundlich zuhause vorbeifahren und "hallo" sagen :evil:
Naja, normale Viren werden ja oftmals von Firmen verbreitet, die Internet-Sicherheits-Programme verticken wollen... weil ohne Viren würde die ja kein Mensch kaufen.... aber ich glaube, diese Theorie passt hier mal grad nicht...
Also es nützt zwei Sicherheitslücken aus, zu einem in PHPBB bei der Suchfunktion die HIGHLIGHT Funktion (wo der gesuchte begriff dann hell markiert wird in den suchergebnissen) und zum anderen einen bug in PHP der wiederrum an der HIGHLIGHT Parameter abfrage dann php codes beliebig ausführen läßt und dann schiebt sich der worm in form eines an die url angehangen php codes ins system, das sieht dann so in etwa aus: http://www.deinewebseite.de/forum/viewtopic.php?p=12345&highlight=%2527%252Efwrite(fopen(chr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102),chr(97)),chr(32)%252echr(68)%252echr(111)%252echr(68)%252echr(105)%252echr(114)%252echr(40)%252echr(36)%252echr(100)%252echr(41)%252echr(59)%252echr(32)%252echr(125)%252echr(10)%252echr(125)%252echr(10)),...... wobei dir kompletten knapp 5000 bytes des wurms in form von chr übertragen werden, was mal eben die url meglang macht, fällt auch direkt in jeder access.log auf ;-) da ambesten selber mal "grep"en nach "fopen" ... hab bei mir am montag und dienstag drei aufrufe jedesmal gefunden in der log... passiert ist aber nix -> zum glück halt weil ich noch rechtzeitig php update eingespielt habe. am ende dieses codes startert er das gerade auf platte geschriebene perl script und dieses fork´ed sich dann erstmal ein bischen (3 childs mein ich) und dann legt das teil mit seiner zerstörung los.
Servus Ich habe kein Wort verstanden. Aber der Admin hat sich die Spende verdient. P.S. wenn ihr den Virenbastler habt, kurz addy durchgeben, den holen dann die geschädigten in die Realität zurück, kurz zumindest... Gruß
Moin! Ich habs verstanden, danke. 5kb für ein Vieh, das so viel Mist machen kann... Hm, entweder ist Perl doch besser als ich denke oder der Typ konnte gut Coden. Gruss, Gerrit
![[fiesta/ka] Ford Community](https://www.ford-community.de/wp-content/uploads/2017/04/logo.png){kind=logo}