vidkul napisal/-a:luknja v phpBB[/url]
več hoče vase posesat.
vidkul napisal/-a:Hja ero, luknja v phpBB je bila kriva. glej link: http://www.slo-tech.com/
Spoštovani! Na enem izmed strežnikov skupine ŠPiC, ki športnim organizacijam nudijo prostor za postavitev lastnih spletišč, se je v
ponedeljek, 20.12.2004 ob 23. pojavil črv PHP/Santy.A.worm. Sledijo podrobnosti.
Napadeni strežnik je Pavonis (IP številka 193.77.168.17). Večina spletišč je žal doživela napad. Nekaj nam jih je v zadnjem trenutku uspelo
rešiti, ker smo ob opaženih znakih delovanja črva le-to prekinili.
Način napada:
Črv je zelo premeten. Izkorišča ranljivost v programski kodi forumske aplikacije phpBB, ki je pri nas in po svetu zelo razširjena. Preko
povpraševanja na spletnem iskalniku Google črv pridobi seznami spletišč z nameščenim forumom phpBB. nato gre po seznamu in preverja, če
obstaja možnost vdora. Le-ta je mogoča pri verzijah phpBB, nižjih od 2.0.11. Po uspešnem vdoru črv požene program, ki na strežniku pokvari vse
datoteke s končnico .htm, .html, .shtml, .asp, .aspx in .php. V pokvarjene datoteke
vpiše kodo, ki prikazuje naslednje obvestilo:
This site is defaced!!!
---------------------------------------
NeverEverNoSanity WebWorm generation X.
X je zaporedna vrednost generacije širjenja črva.
Po tem črv preko Googla poišče seznam naslednjih žrtev.
Črv se je pojavil 20.12.2004 in pri nas je bil ob 22:56. Je zelo učinkovit, saj je bilo po nekaterih podatkih v torek napadenih preko 40.000
spletišč po vsem svetu.
Črv za delovne postaje obiskovalcev spletišč ni škodljiv! Ogroženi so le strežniki, ki nudijo spletne storitve in na njih forum phpBB, ne
glede na operacijski sistem strežnika.
Upravniki spletišč!
Za vse nevšečnosti se vam opravičujemo. prosimo vas, da tisti, ki tega še niste storili, obnovite pokvarjene datoteke iz lokalnih virov.
Obnovite le .html in sorodne datoteke. Podatkovne datoteke, baze in grafične datoteke so ostale nedotaknjene!
Na vseh strežnikih skupine ŠPiC smo med tem že pregledali namestitve foruma phpBB in v vseh odstranili varnostno luknjo. V vsakem primeru pa
vas prosimo, da redno spremljate domače strani rešitev, ki jih uporabljate in nameščate popravke in nadgradnje.
Povezave in dodatno branje:
Navajamo seznam spletnih virov, ki vam povedo več o črvu.
tehnični opis:
http://www.pandasoftware.com/virus_info ... irus=56520
članki:
http://isc.sans.org/diary.php
http://isc.sans.org/diary.php?date=2004-12-21
http://news.zdnet.com/2100-1009_22-5500265.html
http://news.zdnet.com/2100-1009_22-5499725.html?tag=nl
http://www.phpbb.com/phpBB/viewtopic.php?t=248955
http://www.techworld.com/security/news/ ... ewsID=2854
http://software.silicon.com/security/0, ... 701,00.htm
rešitev za phpBB:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513
Zaključek:
Po nam znanih podatkih je na tržišču malo protivirusnih rešitev, ki bi bile sposobne preprečiti ta napad. O tem priča tudi število napadenih
sistemov. Na ŠPiCu pa smo se že lotili dogovorov o namestitvi ene izmed takih rešitev, ki bo predvidoma v prihodnje onemogočila podobne
neljube dogodke.
Za vse nevšečnosti in dodatno delo se vam opravičujemo in vas prosimo za razumevanje.
, sve opet radi 
:clap:
VESELI BOMO VAŠIH KOMENTARJEV in PREDLOGOV GLEDE NOVEGA PORTALA
