Web-Wurm NeverEverNoSanity löscht Webseiten

Beitrag von **Lutz-Development** » 22.12.2004, 18:09

In den Logs guggen nach kryptischen Anfragen mit vielen %-zeichen. Dabei ist die viewtopic.php betroffen und der parameter hilight.

Gruß,
Thomas

von **Anzeige von ABAKUS** »

Beitrag von **Garfield** » 22.12.2004, 20:14

Versucht dieses Programm, systematisch durch Ausführung der viewtopic.php vorzugehen ?

Wenn ja:

Wie wäre es, einfach die viewtopic.php umzubenennen und das auch in den entsprechenden anderen Files der Foren-Software zu tun, sodaß das Board weiterhin reibungslos läuft, aber es eben keine viewtopic.php mehr gibt ?

Beitrag von **Jojo** » 22.12.2004, 20:25

@Garfield
Kann man machen. Damit ist man wohl vor diesem Wurm sicher, die Lücke besteht aber weiterhin.

Beitrag von **Eistee** » 22.12.2004, 22:48

Wie Jojo sagt, es soll ja noch Bösewichte geben, die Sicherheitslücken "von Hand" ausnützen

Das phpBB Update ist eh schon lange genug draussen, wer nicht updeted ist selber schuld. Ist ja mit jedem Windows Update auch nichts anderes...

Beitrag von **Luckybuy3000** » 23.12.2004, 00:47

Die Sicherheits-Lücke in der viewtopic.php ist bereits seit Oktober bekannt.Wer weder sein Forum updatet noch die viewtopic fixed, dem ist dann auch nicht mehr zu helfen.

Beitrag von **Boa** » 23.12.2004, 14:37

Auch die gefixte version ist nicht wirklich sicher. Generaton 20 hat es wieder geschafft, meine Datein zu zerstören

Beitrag von **lostengine** » 23.12.2004, 15:03

Biste sicher das es die gefixte war?
Ich glaube dann wärst du der erste.....

Beitrag von **[btk]tobi** » 23.12.2004, 15:11

Wenn auf den gleichen Server eine Version unter 2.0.11 läuft, kann durch das Forum auch ein gefixtes Forum betroffen werden.

Beitrag von **Boa** » 23.12.2004, 15:19

Habe 2 Foren darauf gehabt, und beide waren gefixt.
jedenfalls nach diesem Code von hier:
https://www.phpbbstyles.com/viewtopic.php?t=1904

Das hat jedenfalls nicht gereicht. Wieder alles weg.

Beitrag von **Nikochan** » 23.12.2004, 15:21

Habe vorhin den Wurm-Code angeschaut. Dieser googled ja bekanntermassen nach viewtopic.php.

Schön, dass Google die entsprechende Abfrage nun gesperrt hat:
allinurl:viewtopic.php

Gruss,
Nikochan

Beitrag von **Christophe** » 24.12.2004, 13:49

So, gerade ist mir der Kragen geplatzt als ~100 Gäste in meinem Forum waren und laut Logs ca. 1 Anfrage pro Sekunde kommt.

RewriteCond %{QUERY_STRING} .*highlight=.*esystem.*echr.* [NC]
RewriteRule /forum/viewtopic\.php - [F,L,NC]

Damit sollte der Spuk auf jeden Fall ein Ende haben.

Beitrag von **Micha88** » 24.12.2004, 13:54

Es scheint ja wieder weiter zu gehen. Der Wurm sucht nun bei Yahoo:
https://www.heise.de/newsticker/meldung/54612

Gruß,
Michael

Beitrag von **Airport1** » 24.12.2004, 14:16

Nachdem der Code nun sicherlich von einigen Script Kiddies modifiziert wird ist es wohl nur noch eine Frage der Zeit bis auch andere Foren damit platt gemacht oder aehnliche Einstiegsmoeglichkeiten genutzt werden , oder?

Beitrag von **Boa** » 24.12.2004, 14:33

Denke auch, das es weitergehen wird. Die Forensysteme sind ja alle nicht sicher und die Provider sind größtenteils im Winterschlaf.

Beitrag von **Airport1** » 24.12.2004, 14:51

Der Wurm sollte in "WillNeverEnd" umbenannt werden

Bei der Komplexitaet von Software wird es aber immer Einstiegsloecher geben, auch beim neuesten PHP oder dem neuesten Apache, man muss sie nur finden.

Frohe Weihnachten und macht die (Forum-)Schotten dicht - kenne bereits einen Fall von 'awa, mir passierd scho nix' und kurz darauf war auch seine Site platt...

Mir kommt erstmal kein Forum auf die Site, schon allein weil heute selbst jeder mit einem "IQ unter 0" ins Internet "darf" und wir alle die Auswirkungen davon kennen...