Tekaški forum

Hja ero, luknja v phpBB je bila kriva. glej link: http://www.slo-tech.com/

lp vid

vidkul napisal/-a:luknja v phpBB[/url]

Črna luk'na

1370 Darko

P.S. Nasploh je z "luknjami" problem...

Ja DPOP to ti je pa tak večje je črna vukna več hoče vase posesat.
Večjega hoče!
Alora samo se dobro ve da je stvar v tehniki, ne v veličini!
ČAO!

vidkul napisal/-a:Hja ero, luknja v phpBB je bila kriva. glej link: http://www.slo-tech.com/

vem

v ponedeljek zvečer in torek zjutraj se ni vedelo še nič, v torek zvečer je bilo že precej znanega, v sredo zjutraj so bili pa že vsi pametni. spodaj je del besedila, ki sem ga spesnil za naše uporabnike:

Spoštovani! Na enem izmed strežnikov skupine ŠPiC, ki športnim organizacijam nudijo prostor za postavitev lastnih spletišč, se je v
ponedeljek, 20.12.2004 ob 23. pojavil črv PHP/Santy.A.worm. Sledijo podrobnosti.

Napadeni strežnik je Pavonis (IP številka 193.77.168.17). Večina spletišč je žal doživela napad. Nekaj nam jih je v zadnjem trenutku uspelo
rešiti, ker smo ob opaženih znakih delovanja črva le-to prekinili.


Način napada:

Črv je zelo premeten. Izkorišča ranljivost v programski kodi forumske aplikacije phpBB, ki je pri nas in po svetu zelo razširjena. Preko
povpraševanja na spletnem iskalniku Google črv pridobi seznami spletišč z nameščenim forumom phpBB. nato gre po seznamu in preverja, če
obstaja možnost vdora. Le-ta je mogoča pri verzijah phpBB, nižjih od 2.0.11. Po uspešnem vdoru črv požene program, ki na strežniku pokvari vse
datoteke s končnico .htm, .html, .shtml, .asp, .aspx in .php. V pokvarjene datoteke
vpiše kodo, ki prikazuje naslednje obvestilo:

This site is defaced!!!
---------------------------------------
NeverEverNoSanity WebWorm generation X.

X je zaporedna vrednost generacije širjenja črva.

Po tem črv preko Googla poišče seznam naslednjih žrtev.

Črv se je pojavil 20.12.2004 in pri nas je bil ob 22:56. Je zelo učinkovit, saj je bilo po nekaterih podatkih v torek napadenih preko 40.000
spletišč po vsem svetu.

Črv za delovne postaje obiskovalcev spletišč ni škodljiv! Ogroženi so le strežniki, ki nudijo spletne storitve in na njih forum phpBB, ne
glede na operacijski sistem strežnika.


Upravniki spletišč!

Za vse nevšečnosti se vam opravičujemo. prosimo vas, da tisti, ki tega še niste storili, obnovite pokvarjene datoteke iz lokalnih virov.
Obnovite le .html in sorodne datoteke. Podatkovne datoteke, baze in grafične datoteke so ostale nedotaknjene!

Na vseh strežnikih skupine ŠPiC smo med tem že pregledali namestitve foruma phpBB in v vseh odstranili varnostno luknjo. V vsakem primeru pa
vas prosimo, da redno spremljate domače strani rešitev, ki jih uporabljate in nameščate popravke in nadgradnje.


Povezave in dodatno branje:

Navajamo seznam spletnih virov, ki vam povedo več o črvu.

tehnični opis:
http://www.pandasoftware.com/virus_info ... irus=56520

članki:
http://isc.sans.org/diary.php
http://isc.sans.org/diary.php?date=2004-12-21
http://news.zdnet.com/2100-1009_22-5500265.html
http://news.zdnet.com/2100-1009_22-5499725.html?tag=nl
http://www.phpbb.com/phpBB/viewtopic.php?t=248955
http://www.techworld.com/security/news/ ... ewsID=2854
http://software.silicon.com/security/0, ... 701,00.htm

rešitev za phpBB:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513


Zaključek:

Po nam znanih podatkih je na tržišču malo protivirusnih rešitev, ki bi bile sposobne preprečiti ta napad. O tem priča tudi število napadenih
sistemov. Na ŠPiCu pa smo se že lotili dogovorov o namestitvi ene izmed takih rešitev, ki bo predvidoma v prihodnje onemogočila podobne
neljube dogodke.

Za vse nevšečnosti in dodatno delo se vam opravičujemo in vas prosimo za razumevanje.

Bravo majstore , sve opet radi
Kad se vidimo vrijedi

Tudi jaz ti iskreno čestitam za ta odlično, celovito in hitro izpeljan DISASTER RECOVERY
:clap:

Kot informatik si predstavljam, koliko dela si moral vložiti v to.