Neue Version vom php(BB?)-Wurm

Beitrag von **Christophe** » 07.02.2005, 13:25

Hi,

es scheint mal wieder eine neue Version vom phpBB-Wurm unterwegs zu sein:

69.64.38.39 - - [07/Feb/2005:12:07:53 +0100] "GET /forum/viewtopic.php?p=3910&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527 HTTP/1.0" 403 217 "-" "Mozilla/4.0"

Diesmal mit Mozilla-User-Agent.

... und ich habe mich schon über die vielen Besucher im Forum gefreut, naja, jetzt habe ich meinen Wurmblocker angepasst und er bekommt nur noch ein 403 zu sehen.

RewriteCond %{QUERY_STRING} .*esystem.* [NC,OR]
RewriteCond %{QUERY_STRING} .*echr.* [NC,OR]
RewriteCond %{QUERY_STRING} .*passthru.* [NC,OR]
RewriteCond %{QUERY_STRING} %70%61%73%73%74%68%72%75
RewriteRule .* - [F,L]

Falls jemand das mit mod_rewrite besser kann, ich bin sehr interessiert.

Weiß jemand, ob es sich um eine neue Lücke handelt oder nur eine 'verbesserte' Version des Wurmes. Wie heiß er eigentlich nochmal?

Gruß,
Christophe

von **Anzeige von ABAKUS** »

SEO Consulting bei ABAKUS Internet Marketing
Erfahrung seit 2002

persönliche Betreuung
individuelle Beratung
kompetente Umsetzung

Jetzt anfragen: 0511 / 300325-0.

Beitrag von **Moddy** » 07.02.2005, 13:36

Die Säcke versuchen es schon den ganzen Tag, über 100 Visits von verschiedenen Ip's
Ich hatte vorher noch keine Lösung in htaccess und musste sie so alle einzeln ausperren

Beitrag von **Christophe** » 07.02.2005, 13:46

Hat sich jemand in diesem Zusammenhand schon mal mit mod_security befasst? mod_security kann im Gegensatz zu mod_rewrite laut Homepage auch "Decode URL encoded characters", das wäre ja mal ganz interessant, um ein umfassenderes Ruleset zu schreiben: system() passthru() einfach ganz auszusperren wäre ja dann kein Problem mehr.

Beitrag von **regeurk78** » 07.02.2005, 15:18

Christophe hat geschrieben:Hat sich jemand in diesem Zusammenhand schon mal mit mod_security befasst? mod_security kann im Gegensatz zu mod_rewrite laut Homepage auch "Decode URL encoded characters", das wäre ja mal ganz interessant, um ein umfassenderes Ruleset zu schreiben: system() passthru() einfach ganz auszusperren wäre ja dann kein Problem mehr.

Japp, hab ich am Laufen. Ist ein klasse Teil. Die Standardkonfiguration hät einem schon das meiste vom Hals. Zusätzlich kann man dann z. B. noch SQL- und PHP-Befehle in der URL blocken

Beitrag von **Ice Man** » 07.02.2005, 16:16

Hi, ich hab den Anti Wurm Mod drinn, der hat auch ganz schon was geblockt.

Kannst du mir mal die Funktion dieser Zeile erklären

RewriteCond %{QUERY_STRING} %70%61%73%73%74%68%72%75

Was genau bewirkt das ?

Beitrag von **Christophe** » 07.02.2005, 18:44

%70%61%73%73%74%68%72%75 ist "passthru" escaped.

Beitrag von **Webby** » 07.02.2005, 19:31

danke für diese code. Ich hab auch in meine logs diese alochen gesehen

Alan

Beitrag von **Canadian121** » 07.02.2005, 21:49

Hallo,

ich habs auch eben in meinen Logs entdeckt.

Was kann ich dagegen tun?
Muss ich das per Htaccess unterbinden? Wenn ja, wie? Die IP?

Danke,
marcel

Beitrag von **Ice Man** » 07.02.2005, 22:12

das ist ein Wurm, der hat keine Feste IP

Wie du den sperren kannst, steht oben.

Beitrag von **larsneo** » 10.02.2005, 22:44

das generelle einfallstor für alle santy abkömmlinge ist immer das sog. highlight exploit. neben dem fix der viewtopic.php kann von daher in erster linie eine entsprechend abgestimmte .htaccess helfen, den turm wurmanfragen generierten traffic im zaun zu halten.
eine entsprechende .htaccess habe ich vor geraumer zeit unter https://www.phpbb.de/viewtopic.php?t=73948 gepostet. und ja, die umleitung nach 127.0.0.1 ist absicht - damit spart man sich den traffic der fehlerseite

Beitrag von **Boa** » 12.02.2005, 00:21

Habe mal das hier gefunden, nachdem ich doch auch mit der phpBB 2.0.11 wieder Hackangriffe hatte.

Open viewtopic.php in any text editor. Find the following section of code:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ',
trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{

and replace with:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ',
trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

Please inform as many people as possible about this issue. If you're a
hosting provider please inform your customers if possible. Else we advise
you implement some level of additional security if you run ensim or have

Ich habe das mal geändert bei mir. Mal sehen ob es hilft

Beitrag von **bannertausch** » 12.02.2005, 00:30

Was, wie? Schon wieder ein Wurm? Muss man da wirklich was machen, ausser den neusten Update?

Gibts auch ne Möglichkeit das irgendwo nachzulesen, was man da genau ins Rewrite hackt? Hab letzte Woche nachgestöbert, aber da was zu finden ist nicht ganz einfach. Es sind nicht wirklich alle Optionen beschrieben in der Apache Doku.

Beitrag von **hmueller** » 12.02.2005, 12:05

@Calliman: der von Dir gepostete Code ist die Notlösung nach den Sicherheitsproblemen in phpbb 2.0.10 und kleiner. Wenn Du phpbb 2.0.11 installiert hast, brauchst Du den Code nicht einbauen, weil er nämlich dort schon drin ist.

@bannertausch: ganz ruhig bleiben. Keine neue Gefahr, wenn 2.0.11 installiert ist.

Beitrag von **Boa** » 12.02.2005, 14:03

Ich hatte auf 2.11 geupdatet, aber der Code war so nicht drin.

Beitrag von **larsneo** » 14.02.2005, 23:43

Ich hatte auf 2.11 geupdatet, aber der Code war so nicht drin.

...was ja auch kein grosses wunder ist, da der code völliger mumpitz ist (und die gesamte keyword-funktionalität aushebelt)