» »

Črv Santy.A preko napake v phpBB briše spletne strani

1
2
»

Pithlit ::

No ja... nism hotu de me vsi 'ClosedSorcerji' napadejo če bi reku da ne delajo škode :P

(to je bla sarkastična pripomba - delit svet na closedsource in opensource, al pa bilo kako drugače ne brez veze)
Life is as complicated as we make it...

toplakd ::

baze ne briše, vem iz lastne izkušnje :)
spremeni pa vse datoteke tipa php, htm in html ;(

WhiteAngel ::

Debianova verzija je 2.0.10-3. Kar pa nič ne pomeni: Zdajle gledam Debianov changelog in ugotavljam, je bila -3 podverzija narejena 18. novembra (dan, ko so odkrili luknjo, ki jo izkorišča ta črv in ven dali verzijo 2.0.11). Torej Debianova verzija ima tudi odpravljen exploit, kljub temu, da še vedno verzijo 2.0.10. V testing in unstable je isti paketek.

phew:)

JerKoJ ::

worm res uradno rabi google za sirjenje
http://securityresponse.symantec.com/avcenter/venc/data/perl.santy.html
in glede na to da je to prvi korak se clovek mogoce vprasa
kaksna je tukaj odgovornost googla
vsaj glede na
http://www.europe.f-secure.com/weblog/
kr velika, ker ocitno nc ne naredijo

Groovy ::

I am the captain of my soul

nsignific ::

Tok enih komentarjev, pa nobene razlage kje je luknja. Pa sem mislil da ste vsaj malo v kodi slotecharji. Jebite se s svojo opensource vojno.

darkolord ::

Edin neki mi ni jasn... kako lahko crv prepise fajle, ce nima permissionov za to?

BigWhale ::

Forum sam po sebi ima permissions, do svojih datotek in te lahko po mili volji prepisuje... Ce je kje se kak careless sistemc, pa stvar lahko prepise se kaj drugega... ;>

mspiller ::

darkolord: sej jih ne. pac odvisno kako imas nastavljen streznik. npr. ce ti laufa apache kot user apache in imas nastimane pravice samo za branje nad vsemi web fajli, ti tak worm ne bo naredil pretirane skode (recimo bo samo lahko pobrisal /tmp), ter seveda bazo od phpbb (ne ta worm konkretno), ne pa tudi ostale baze. Ceprav oglasujejo, da je linux secure, ni secure by default. Drugace je pa phpBB znan po tem da je bolj buggy.

phpBB popravek
onemogocitev worma preko apacheja

Backup je pa itak v vsakem primeru obvezen.
Kak kontra worm, ki popravi dan viewtopic.php, anyone ? >:D >:D >:D

marS ::

kot sem prebral tukaj, je v bistvu bug v samem php-ju. potrebno je apdejtat na najmanj php verzijo 4.3.10 in vdor skoz forum je šele začetek norije:|
...no more heroes...
http://tracks.ilbis.com/

Lucifix ::

Tukaj je začasna rešitev za vse, ki ne morete iz takšnih ali drugačnih razlogov updejtat foruma:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513

PS: ah nisem pogledal dva posta višje :\ No bolje 2x kot 1x 0:)

darkolord ::

Forum sam po sebi ima permissions, do svojih datotek in te lahko po mili volji prepisuje...
sej forum ne laufa pod svojim userjem, pa tut jaz ko sm enkrat to nekam dal, sem default perimssione mel samo "read & execute", "list folder contents", "read"... 8-)

minmax ::

exilian: phpBB je varnostno slab produkt, ker to ni prvi tak primer. dve leti smo imeli izkušnjo v pipi, ko je nekdo _skoraj_ udrl na sajt zaradi njega. Odločili smo se, da ga ne bomo več uporabljali. K sreči nismo zanj nič plačali in to potem ni bila izgubljena naložba. Basta phpBB.

Mislim da se strinjava, da monokultura sux v vseh pogledih, dolgoročno so riziki preveliki. Razmišljam, da bi zato iz Postnuke šli na kak drug CMS in zaradi tega imamo backup server v Kiberpipi na arhitekturno drugačnem operacijskem sistemu kot spletne strežnike.

Ekvilibrij na trgu je najbolj pozitivno zagotovilo, da ne bo popolnih monokultur in totalnih pretresov. Na server segmentu to trenutno obstaja, apache je celo premočen, bi bilo dobro če bi bil še kak tretji igralec tam (poleg IIS). Na desktop segmentu pa je situacija kritična...

BigWhale ::

> sej forum ne laufa pod svojim userjem,

Kako laufa ne vem. Lahko pa tako laufa. Zakaj ne bi mogel?

Skrat ::

Mah... buce. phpBB nc ne 'laufa'. phpBB _ni_ daemon. Je skupek php skript, ki jih poganja apache s pomocjo phpja in poljubne (podprte) podatkovne baze.
Free software is a matter of liberty, not price.

bradek ::

:\

Makaron_hater ::

Da bi se vam sesul Linux in zjebal OpenOffice...
Vesel božič in srečno novo leto.

CCfly ::

Hvala srečno leto tudi tebi, prvo polovico novoletnih želja pa kar obdrži.
"My goodness, we forgot generics!" -- Danny Kalev

HyperKiller ::

Tic ?!?
Menda ne m.
Pri Microsoftu uspešno izrezujejo varnostne luknje.

darkolord ::

Mah... buce. phpBB nc ne 'laufa'. phpBB _ni_ daemon. Je skupek php skript, ki jih poganja apache s pomocjo phpja in poljubne (podprte) podatkovne baze.


A poganja pa ni enako kot laufa???

buca.

Mr.B ::

Novico : http://www.theinquirer.net/?article=203..., pa ni nikjer komentirana....
Voljeno telo ogledalo volilnega telesa.

BigWhale ::

Skrat daj no ne bodi prepameten no...

Jasno da laufa.. ko nekdo pripleza na phpbb se zadeva zalaufa in takrat laufa...

Kaj ti tu ni jasno? Eh?

denial ::

FYI:

Google je blokiral queryje s katerimi Santy išče ranljive strežnike...

KLIK

Zelo pohvalno, čeprav je to učinkovito le dokler se ne pojavijo novi attack vektorji.

******* ::

Res zoprn črv. Najbrž ga je napisal kak debeluh, ki se mu je zameril šport.

Sem naredil portal v podimeniku na spic.si, pa mi je povozil vse PHP skripte, čeprav se portala še ne da najti v googlu in nima nameščenega nobenega foruma. Na srečo so INC datoteke in slike ostale nepoškodovane, pa še backup sem imel.

A kdo ve kaj bolj podrobno, kako je črv to izvedel? Ali je Perl skripto spravil v TMP imenik in jo od tam na nek način zagnal. Ali je kdo bolj podrobno gledal kodo phpbb?
1
2
»


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Razobličenje spletne strani Pravne fakultete (strani: 1 2 3 )

Oddelek: Novice / Varnost
10115784 (10772) gzibret
»

Kako narediti forum v Frontpage?

Oddelek: Izdelava spletišč
101726 (1609) Backup22
»

Novo leto - stari varnostni problemi

Oddelek: Novice / Varnost
93203 (2775) BBB
»

Črv Santy.A preko napake v phpBB briše spletne strani (strani: 1 2 )

Oddelek: Novice / Omrežja / internet
736225 (6225) *******
»

Webhosting

Oddelek: Izdelava spletišč
51055 (908) iCARus

Več podobnih tem