Toon posts:

[Alert / phpBB] NeverEverNoSanity WebWorm uitbraak *

Pagina: 1
Acties:
  • 5.236 views sinds 30-01-2008
  • Reageer

dinsdag 21 december 2004 13:33

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Topicstarter
Mijn site en volgens mij zelfs mijn webhost is 'gehacked'
Ik krijg deze melding:

This site is defaced!!!
NeverEverNoSanity WebWorm generation 18.

Ik heb op andere fora hier al meer over gehoord, alleen kan de generatie verschillen.

Weten mensen hier meer van? Via welke Exploit gaat deze Worm?

Google vind hier niets over :/

Edit:
Iemand op een ander forum zei dit:
It looks like this special attack might have come through pre-2.0.11 phpBB installations via the so-called "highlight exploit".

phpBB users not running version 2.0.11 yet should

- upgrade to 2.0.11 at the earliest possibility
- if that's not possible right away, implement this quick fix: http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

What's going on:

- They're looking for URLs containing "viewtopic.php" via Google
- via the highlight exploit they use system() and fwrite() calls to place the worm code somewhere on the file system
- php, htm files (and others) are overwritten in all directories accessible from the web root (thus affecting Mambo setups also though Mambo is not the door through which they came in).

This seems to be a massive, ongoing attack on phpBB boards.
(Information taken from the German phpBB support board: http://www.phpbb.de/viewtopic.php?t=73427&highlight=)

Kind regards,
Zorro
Maar ik draai geen phpbb, kan het zijn dat iemand op de server is gekomen via dit lek?

Al hebben andere mensen het over een lek in php?

Ik hoop snel iets meer te weten te komen :)

[ Voor 73% gewijzigd door anandus op 21-12-2004 13:49 ]

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 13:55

Acties:
  • 0 Henk 'm!

Verwijderd

De TS had deze link ook al gevonden, maar toch: http://www.webmasterworld.com/forum10/7400.htm

Het lijkt erop dat het helemaal nieuw is, aangezien er verder geen info over te vinden is.

Bij de beta search van MSN ook alleen entries van gisteren en vandaag:

http://beta.search.msn.co...e+is+defaced%22&FORM=QBNO

(Wow, wat indexeert die MSN beta snel trouwens!)

[ Voor 36% gewijzigd door Verwijderd op 21-12-2004 13:57 ]

dinsdag 21 december 2004 14:10

Acties:
  • 0 Henk 'm!

Verwijderd

Zou je wat gedetailleerder kunnen zijn?
Versies van gebruikte progs enzo.

Als je php niet uptodate is/was, dan is mijn eerste gok dat er gebruik van de populaire vulns erin gemaakt is geworden.
Aannemende dat er daadwerkelijk meerdere generaties zijn, is het enigzins aan te nemen dat elke generatie een ander/meer verspreidingsmechanisme heeft.

dinsdag 21 december 2004 14:13

Acties:
  • 0 Henk 'm!
  • Victor
  • Registratie: November 2003
  • Niet online

Victor

PHP 4.3.10 & 5.0.3 released!
[15-Dec-2004] The PHP Development Team would like to announce the immediate release of PHP 4.3.10 and PHP 5.0.3. These are maintenance releases that in addition to non-critical bug fixes address several very serious security issues. All Users of PHP are strongly encouraged to upgrade to one of these releases as soon as possible.
Misschien dat dat er iets mee te maken heeft?

dinsdag 21 december 2004 14:14

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Topicstarter
Naar wat ik hoorde is het waarschijnlijk een exploit geweest in php < 4.3.10 (Mijn host had hem niet geïnstalleerd, omdat daar nog teveel bugs inzitten). Maar dit is puur een vermoeden.

even op het forum van php kijken..

edit:
hoi King_Louie :w


En ook:
http://news.netcraft.com/...t_of_phpbb_passwords.html
A published exploit demonstrates how to use new security holes in PHP to steal database passwords for the popular phpBB bulletin board program. The release of a working exploit on Friday, just two days after the flaws were announced, provides additional incentive for web hosts to upgrade to secure new versions of PHP.

The phpBB development team has notified users of the exploit, which was published on the BugTraq mailing list and several web sites. "This is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions," the phpBB advisory said, urging users and hosting providers to upgrade their PHP installations. Similar advice is being offered by the PHP project site, which has fixed the bugs in versions 4.3.10 and 5.0.3.

PHP, an open source server-side scripting language, is widely used to power web applications that connect with databases such as MySQL, and is commonly bunded with shared hosting accounts offered by web hosting providers. phpBB is among the web's most popular bulletin board programs, with more than 156,000 registered members of its user forum.

The phpBB exploit targets flaws in the way PHP stores path information and decodes stored data with the unserialize function. An attacker can use these weaknesses to craft a cookie-and-code combo that can access phpBB's configuration file and retrieve the username and password of the application's MySQL database.

Similar flaws could affect other popular web applications, including the Invision Power Board, vBulletin and PHPAds(New), which all use the unserialize function to access data stored in a cookie, according to Stefan Esser of The Hardened PHP Project, which released the initial advisory Thursday.

The Hardened-PHP project, which creates patches to enhance the security of PHP, is not going to release exploits. But Esser said exploits were not exceptionally difficult to create for users with a strong knowledge of PHP. Several security-oriented web sites are offering tips to secure PHP on a web server.
En Secunia
Multiple vulnerabilities have been reported in PHP, which can be exploited to gain escalated privileges, bypass certain security restrictions, gain knowledge of sensitive information, or compromise a vulnerable system.

1) An integer overflow in the "pack()" function can be exploited to cause a heap-based buffer overflow by passing some specially crafted parameters to the function.

Successful exploitation bypasses the safe_mode feature and allows execution of arbitrary code with the privileges of the web server.

2) An integer overflow in the "unpack()" function can be exploited to leak information stored on the heap by passing specially crafted parameters to the function.

In combination with the first vulnerability, this may also allow bypassing of heap canary protection mechanisms.

3) An error within safe_mode when executing commands can be exploited to bypass the safe_mode_exec_dir restriction by injecting shell commands into the current directory name.

Successful exploitation requires that PHP runs on a multi-threaded Unix web server.

4) An error in safe_mode combined with certain implementations of "realpath()" can be exploited to bypass safe_mode via a specially crafted file path.

5) An error within the handling of file paths may potentially lead to file inclusion vulnerabilities. The problem is that "realpath()", which in some implementations truncate filenames, is used in various places to obtain the real path of a file.

6) Various errors within the deserialization code can be exploited to disclose information or execute arbitrary code via specially crafted strings passed to the "unserialize()" function.

7) An unspecified error in the "shmop_write()" function may result in an attempt to write to an out-of-bounds memory location.

8) An unspecified boundary error exists in the "exif_read_data()" function when handling long section names.

9) An error in the "addslashes()" function causes it to not escape NULL bytes correctly. This can e.g. be exploited to read arbitrary files on a system, if the "include()" or "require()" statements partly use user-supplied input.

10) An error within "magic_quotes_gpc" may allow a one-level directory traversal when uploading files with a single quote in the filename (e.g. "..'file.ext").

NOTE: Other potential security issues have also been reported.

[ Voor 127% gewijzigd door anandus op 21-12-2004 14:29 ]

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 15:06

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 22-09 16:13

Kees

Serveradmin / BOFH / DoC
Een andere user had de code van de worm hier op got gezet, basicly deed die code zoeken op google naar phpbb forums, en die vervolgens via de highlight functie (en de (un)serialize flaw van php) besmetten. Vervolgens zoekt hij de schijf af op php, html, asp e.d. bestanden en vervangt die door een eigengemaakte pagina.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 21 december 2004 15:20

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Topicstarter
Kees schreef op dinsdag 21 december 2004 @ 15:06:
Een andere user had de code van de worm hier op got gezet, basicly deed die code zoeken op google naar phpbb forums, en die vervolgens via de highlight functie (en de (un)serialize flaw van php) besmetten. Vervolgens zoekt hij de schijf af op php, html, asp e.d. bestanden en vervangt die door een eigengemaakte pagina.
Inderdaad (zoals ook in de TS staat).

Overigens staat op phpbb.com een groffe work-around:
Following my original post it has been brought to our attention that the highlighting exploit can be taken advantage of, and it a serious way. We are hastily preparing a new release. However that release contains a number of other fixes and additions and thus we carrying out some internal testing to limit the chances of other issues arising.

In the mean time we strongly, and I mean strongly! urge all our users to make the following change to viewtopic.php as a matter of urgency.

Open viewtopic.php in any text editor. Find the following section of code:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++)
{

and replace with:
Code:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++)
{

Please inform as many people as possible about this issue. If you're a hosting provider please inform your customers if possible. Else we advise you implement some level of additional security if you run ensim or have PHP running cgi under suexec, etc.
Maar je bent beter af als je PHP update.

Phpbb zal binnenkort met een update komen.

In het kort:
Het is een fout in bepaalde functies van php, waar onder andere phpbb gebruik van maakte.

[ Voor 11% gewijzigd door anandus op 21-12-2004 15:29 ]

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 15:36

Acties:
  • 0 Henk 'm!

Verwijderd

Detection added as Net-Worm.Perl.Santy.a.

RED alert voor deze worm...

dinsdag 21 december 2004 15:38

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 22-09 16:13

Kees

Serveradmin / BOFH / DoC
Overigens ALS je php wilt updaten en je draait ook ZendOptimizer, dan MOET je ZO naar 2.5.7, want php 4.3.10 werkt niet samen met oudere versies en onder andere foreach() werkt dan niet meer.

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 21 december 2004 16:48

Acties:
  • 0 Henk 'm!

Verwijderd

anandus schreef op dinsdag 21 december 2004 @ 15:20:
[...]

Inderdaad (zoals ook in de TS staat).

Overigens staat op phpbb.com een groffe work-around:

Phpbb zal binnenkort met een update komen.
http://www.phpbb.com/phpBB/viewtopic.php?t=240636
Die update is er dus al even...(Nog geen 24 uur na het door jou genoemde topic).

Ik hoef je toch niet uit te leggen hoe een forum werkt he? :+

dinsdag 21 december 2004 17:22

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Topicstarter
Verwijderd schreef op dinsdag 21 december 2004 @ 16:48:
[...]

http://www.phpbb.com/phpBB/viewtopic.php?t=240636
Die update is er dus al even...(Nog geen 24 uur na het door jou genoemde topic).

Ik hoef je toch niet uit te leggen hoe een forum werkt he? :+
Afbeeldingslocatie: http://images.fok.nl/s/bloos.gif

Je hebt gelijk :)

"Always remember to quick save" - Sun Tzu

dinsdag 21 december 2004 18:59

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 22-09 16:13

Kees

Serveradmin / BOFH / DoC
http://www.viruslist.com/...ncyclopedia?virusid=68388

Hier staat het helaas nog niet helemaal goed, als ik in de code van de worm kijk gebruikt hij toch echt google in plaats van MSN, mischien dat er meerdere versies zijn waarvan een van de versies google bezoekt en de ander MSN (en weer anderen altaviste, askjeeves, yahoo?)

Perl:
1
2
3

my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' .
        '&q=allinurl%3A+%22viewtopic.php%22+%22' . 
        $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) . '%22&btnG=Search';

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

dinsdag 21 december 2004 19:05

Acties:
  • 0 Henk 'm!

Verwijderd

Kees: Lees de gehele write-up nog eens door.

Die MSN search wordt genoemd om zo te laten zien hoeveel sites infected zijn, zeg maar als side note.
Google wordt in de 'echte' write-up van de malware genoemd. :)

dinsdag 21 december 2004 19:08

Acties:
  • 0 Henk 'm!
  • Kees
  • Registratie: Juni 1999
  • Laatst online: 22-09 16:13

Kees

Serveradmin / BOFH / DoC
arg, okay :)

"Een serveradmin, voluit een serveradministrator, is dan weer een slavenbeheerder oftewel een slavendrijver" - Rataplan

woensdag 22 december 2004 12:43

Acties:
  • 0 Henk 'm!

Verwijderd

We hebben hier afgelopen week al actie op ondernomen en gebruikers van onze server 3 dagen de tijd gegeven om hun phpBB ding te patchen. Was het forum na die 3 dagen niet gepatched dan ging het onherroepelijk op zwart. Helaas al teveel problemen gehad met brakke php, en mogelijkheden om ranzige, externe, code te draaien. Niet leuk als je server door slordig werk van je gebruikers een aantal hosts gaar DDossen :/ ...

Edit: even de tekst van US-CERT toegevoegd
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Technical Cyber Security Alert TA04-356A
Exploitation of phpBB highlight parameter vulnerability

Original release date: December 21, 2004
Last revised: --
Source: US-CERT

Systems Affected

phpBB versions 2.0.10 and prior

Overview

The software phpBB contains an input validation problem in how it
processes a parameter contained in URLs. An intruder can deface a
phpBB website, execute arbitrary commands, or gain administrative
privileges on a compromised bulletin board.

I. Description

phpBB is an open-source bulletin board application. It fails to
properly perform an urldecode() on the "highlight" parameter supplied
to viewtopic.php. This may allow a remote attacker to execute
arbitrary commands on a vulnerable server.

According to reports, this vulnerability is being actively exploited
by the Santy.A worm. The worm appears to propogate by searching for
the keyword "viewtopic.php" in order to find vulnerable sites.

The worm writes itself to a file named "m1ho2of" on the compromised
system. It then overwrites files ending with .htm, .php, .asp. shtm,
.jsp, and .phtm replacing them with HTML content that defaces the web
page. The worm then tries to use PERL to execute itself on the
compromised system and propogate further.
US-CERT is tracking this issue as:

VU#497400 - phpBB viewtopic.php fails to properly sanitize input
passed to the "highlight" parameter

II. Impact

A remote attacker may be able to deface a phpBB website and execute
arbitrary commands on a compromised bulletin board.

III. Solution

Upgrade phpBB

Upgrade to phpBB verison 2.0.11 to prevent exploitation.

Appendix A. References

* US-CERT Vulnerability Note VU#497400 -
<http://www.kb.cert.org/vuls/id/497400>
* phpBB Downloads - < http://www.phpbb.com/downloads.php>
* phpBB Announcement -
<http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240636>
* Symantec Security Response - Perl.Santy -
<http://securityresponse.symantec.com/avcenter/venc/data/perl.santy
.html>
* McAfee - Computer Virus Software and Internet Security -
<http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=
130471>

[ Voor 75% gewijzigd door Verwijderd op 22-12-2004 12:44 ]

woensdag 22 december 2004 12:51

Acties:
  • 0 Henk 'm!
  • KMK
  • Registratie: Januari 2000
  • Laatst online: 11-09 13:54

KMK

Deze google query dus
http://www.google.com/sea...c%2Ephp%22+%22%3D30000%22

Would you like to know more?!! [StarShip Troopers] - Void Station

woensdag 22 december 2004 13:40

Acties:
  • 0 Henk 'm!
  • SkyStreaker
  • Registratie: Juni 2002
  • Laatst online: 22-09 08:11

SkyStreaker

Move on up!

Ik heb begrepen dat zelfs GoT even een eng moment had via de nieuwstracker...? :/ woei...

Fractal Define R6 | ASRock B650M PG Lightning | AMD 8700G | G.Skill Flare X5 6000-CL30-38-38-96-134 (10ns) 2x16GB | Noctua NH-D15 Black | Seasonic Focus PX-750 Platinum | 4x2TB Kingston Fury NVMe | Shitty Gigabyte 24" Curved TN ding

woensdag 22 december 2004 13:42

Acties:
  • 0 Henk 'm!
  • mickjuh
  • Registratie: Mei 2004
  • Laatst online: 09-09 16:55

mickjuh

Good news everyone!

http://www.phpbb.com/phpBB/viewtopic.php?t=240513

http://www.webwereld.nl/nieuws/20359.phtml

woensdag 22 december 2004 14:13

Acties:
  • 0 Henk 'm!
  • Yoeri
  • Registratie: Maart 2003
  • Niet online

Yoeri

O+ Joyce O+

(overleden)
tranztaz schreef op woensdag 22 december 2004 @ 13:40:
Ik heb begrepen dat zelfs GoT even een eng moment had via de nieuwstracker...? :/ woei...
Verklaar je nader :?

Kijkje in de redactiekeuken van Tweakers.net
22 dec: Onze reputatie hooghouden
20 dec: Acht fouten

woensdag 22 december 2004 14:50

Acties:
  • 0 Henk 'm!
  • SkyStreaker
  • Registratie: Juni 2002
  • Laatst online: 22-09 08:11

SkyStreaker

Move on up!

Yoeri schreef op woensdag 22 december 2004 @ 14:13:
[...]

Verklaar je nader :?
Ik zou wel willen, maar blijkbaar kan ik nu niet linken.

Iemand had in een reply gepost dat in de logs van tweakers.net ook dergelijke vermeldingen stonden... Echter, daar ik nu niet kan linken kan ik je ook even geen quote geven.

http://www.tweakers.net/r...=Posting&ParentID=1201513 - Of interpreteer ik het verkeerd?

:X Ja dus.... |:( Solly O-)

[ Voor 20% gewijzigd door SkyStreaker op 22-12-2004 14:54 ]

Fractal Define R6 | ASRock B650M PG Lightning | AMD 8700G | G.Skill Flare X5 6000-CL30-38-38-96-134 (10ns) 2x16GB | Noctua NH-D15 Black | Seasonic Focus PX-750 Platinum | 4x2TB Kingston Fury NVMe | Shitty Gigabyte 24" Curved TN ding

woensdag 22 december 2004 17:12

Acties:
  • 0 Henk 'm!
  • mosymuis
  • Registratie: Maart 2002
  • Laatst online: 27-04 11:53

mosymuis

anandus schreef op dinsdag 21 december 2004 @ 14:14:
En ook:
http://news.netcraft.com/...t_of_phpbb_passwords.html

[...]

En Secunia

[...]
Je haalt twee dingen door elkaar. De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11. Hoewel er voor beiden phpBB exploits circuleren maakt dit virus gebruik van de phpBB bug. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen.

woensdag 22 december 2004 17:50

Acties:
  • 0 Henk 'm!
  • anandus
  • Registratie: Februari 2001
  • Niet online

anandus

Topicstarter
mosymuis schreef op woensdag 22 december 2004 @ 17:12:
[...]

Je haalt twee dingen door elkaar. De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11. Hoewel er voor beiden phpBB exploits circuleren maakt dit virus gebruik van de phpBB bug. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen.
Dus dit is púúr een PHPBB-bug, ongeacht de PHP-versie, right?

[rml]Icey in "[ www] Mijn site defaced"[/rml]
Phpbb zegt:

Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.
...
Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.
* anandus weet het even niet meer :?

"Always remember to quick save" - Sun Tzu

woensdag 22 december 2004 17:53

Acties:
  • 0 Henk 'm!
  • mosymuis
  • Registratie: Maart 2002
  • Laatst online: 27-04 11:53

mosymuis

Dat zeg ik, er bestaan twee zeer recente phpBB exploits, óók voor de PHP bug die Icey aanhaalde. Je kunt je ertegen beschermen door PHP up te graden (www.php.net), of de onofficiële phpBB patch te gebruiken waarmee je geen gebruik meer maakt van unserialize(). Dit alles heeft niets te maken met dit virus.

[ Voor 5% gewijzigd door mosymuis op 22-12-2004 17:54 ]

woensdag 22 december 2004 17:53

Acties:
  • 0 Henk 'm!
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 21:49

Webgnome

wat is dan wel mogelijk met de php bug exploid?

Strava | AP | IP | AW

woensdag 22 december 2004 17:55

Acties:
  • 0 Henk 'm!
  • mosymuis
  • Registratie: Maart 2002
  • Laatst online: 27-04 11:53

mosymuis

Webgnome schreef op woensdag 22 december 2004 @ 17:53:
wat is dan wel mogelijk met de php bug exploid?
Wat met de PHP unserialize buffer overflow allemaal gedaan kan worden is mij ook niet helemaal duidelijk, wel weet ik dat met de gereleasede phpBB exploit alleen bestanden bekeken kunnen worden. Dan moet je dus denken aan je config.php, waar je database gegevens in staan.

woensdag 22 december 2004 18:00

Acties:
  • 0 Henk 'm!
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 21:49

Webgnome

maar die phpbb explo..is gefixt in de laatste versie (.11) ?

Strava | AP | IP | AW

woensdag 22 december 2004 20:19

Acties:
  • 0 Henk 'm!

Verwijderd

Wat ik eventjes niet volg is op welke manier je nu die url_decode function uberhaupt kan misbruiken? Dit betekend gewoon dat je allerlei zooi via url variabelen kunt injecten, en dat er gewoon een flinke bug in de PHP functie url_decode zit. Die zou in een sandbox moeten draaien.

Dan zou een update van PHP dus ook voldoende zijn.

edit:

Ja dus .. omg dat is best lomp..

[ Voor 17% gewijzigd door Verwijderd op 22-12-2004 20:37 ]

woensdag 22 december 2004 22:01

Acties:
  • 0 Henk 'm!
  • Webgnome
  • Registratie: Maart 2001
  • Laatst online: 21:49

Webgnome

even een stukje van de code die bij ons gister is gebruikt:

code:
1

viewtopic.php?p=2145&sid=b5b0038809afdf7c8ad801f98b1ee4b6&highlight=%2527%252Efwrite(fopen(chr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102),chr(97)),chr(123)%252echr(32)%252echr(68)%252echr(111)%252echr(68)%252echr(105)%252echr(114)%252echr(40)%252echr(36)%252echr(100)%252echr(41)%252echr(59)%252echr(32)%252echr(125)%252echr(10)%252echr(125)%252echr(10)),exit%252e%2527

Strava | AP | IP | AW

woensdag 22 december 2004 22:03

Acties:
  • 0 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22-09 14:08

AW_Bos

Liefhebber van nostalgie... 🕰️

Ik heb ook maar eventjes mijn hosting gemaild, en verteld dat Zend Optimizer 2.5.7 ook nodig is ;).
Jammer dat een bekend forum nu erg bekend staat als "lek". maar aangezien Google nu aan het filteren is, verwacht ik dat er wel writeups komen die op andere manier verder gaan dan Google.

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

woensdag 29 december 2004 17:52

Acties:
  • 0 Henk 'm!
  • AW_Bos
  • Registratie: April 2002
  • Laatst online: 22-09 14:08

AW_Bos

Liefhebber van nostalgie... 🕰️

Het gaat lekker, ik las gisteren op Essents TV-kanaal dat dit virus ook al zoekt via Yahoo en AOL...

Trouwens, is dit virus nog een beetje actief?

Telecommunicatie van vroeger
🚅Alles over spoor en treintjes

woensdag 29 december 2004 23:50

Acties:
  • 0 Henk 'm!
  • magnifor
  • Registratie: Februari 2004
  • Niet online

magnifor

AW_Bos schreef op woensdag 29 december 2004 @ 17:52:
Het gaat lekker, ik las gisteren op Essents TV-kanaal dat dit virus ook al zoekt via Yahoo en AOL...

Trouwens, is dit virus nog een beetje actief?
Zolang je phpBB 2.0.11 hebt draaien, is er niet zo veel aan de hand. Heb je hoogstens een beetje veel dataverkeer.

vrijdag 31 december 2004 14:56

Acties:
  • 0 Henk 'm!

Verwijderd

Kan iemand vertellen of het uitschakelen van bepaalde PHP-functies (bijv. exec()) helpt tegen deze worm? Ik host namelijk een paar sites die ook phpBB gebruiken, maar ik heb wel de meest gevaarlijke PHP-functies uitgeschakeld en bovendien is er een open_basedir voor elke Apache VirtualHost, die ingesteld staat op de user z'n homedir.
Kan de worm nu alsnog m'n hele server (dus ook andere users) infecteren? Of zou het blijven bij een infectie van de user die de verouderde phpBB draait?

vrijdag 31 december 2004 15:22

Acties:
  • 0 Henk 'm!

Verwijderd

Baris Ka schreef op woensdag 29 december 2004 @ 23:50:
[...]


Zolang je phpBB 2.0.11 hebt draaien, is er niet zo veel aan de hand. Heb je hoogstens een beetje veel dataverkeer.
Dat is incorrect, en niet zo'n beetje ook.

Zie http://www.viruslist.com/en/weblog?weblogid=156931887

zondag 2 januari 2005 22:48

Acties:
  • 0 Henk 'm!

Verwijderd

Schopje voor mijn vraag (zie iets verder hierboven)?

maandag 3 januari 2005 00:01

Acties:
  • 0 Henk 'm!
  • magnifor
  • Registratie: Februari 2004
  • Niet online

magnifor

Verwijderd schreef op vrijdag 31 december 2004 @ 15:22:
[...]

Dat is incorrect, en niet zo'n beetje ook.

Zie http://www.viruslist.com/en/weblog?weblogid=156931887
Oke, sorry. Dat weet ik dan ook weer. :)
Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq