Antivirussoftwarebedrijf F-Secure heeft afgelopen vrijdag laten weten een worm ontdekt te hebben die de negatieve effecten van de Santy-worm probeert te repareren. De anti-Santy-worm maakt, evenals zijn illustere voorganger, gebruik van Google om te zoeken naar phpBB-forums. In plaats van de site te defacen installeert de anti-Santy-worm echter een patch om de forumsoftware veiliger te maken. Om deze patch te installeren maakt de worm echter gebruik van hetzelfde lek in phpBB als Santy zelf. Na infectie en installatie van de anti-Santy-worm wordt een bestand genaamd secure.php aangemaakt met daarin de volgende tekst: "viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11." Hoewel het idee achter deze antiworm nobel lijkt, aldus F-Secure, is het toch geen goed idee dat op deze manier sites automatisch aangepast worden. Dit kan namelijk onder andere tot gevolg hebben dat handmatig gemodde phpBB-forums niet langer goed werken. Daarnaast zorgt deze worm, evenals Santy zelf, voor een grote hoeveelheid extra verkeer wat weer bandbreedte en serverresources kost.
Lees meer
:strip_exif()/i/1380468811.jpeg?f=fpa)
Kwaadwillenden breken in op servers van forumsoftware phpBB
Nieuws van 15 december 2014
Twee varianten 'Zotob'-worm losgebroken
Nieuws van 15 augustus 2005
NCRV en TROS bouwen automatische moderatie in phpBB
Nieuws van 14 juli 2005
Antivirusbedrijven overspoeld door MyTob-varianten
Nieuws van 5 juni 2005
PHP-ontwikkelaars willen veiligheidsimago verbeteren
Nieuws van 2 februari 2005
MySQL-worm 'MySpooler' valt servers aan
Nieuws van 28 januari 2005
Worm vermomt zich als nieuwsbrief met actuele headlines
Nieuws van 22 januari 2005
Santy-makers niet voor één gat te vangen
Nieuws van 24 december 2004
Santy bestookt phpBB-websites
Nieuws van 22 december 2004
Reacties (44)
En toch is het niet zo'n slechte worm, ook de gemodde phpBB fora werkten daarvoor tenslotte helemaal niet.
En hoe deze worm nou enorm veel dataverkeer veroorzaakt is me niet duidelijk; als de administrator z'n site weer wil herstellen moet deze toch ook alle bestanden herstellen (en dus uploaden). De worm doet het toch maar 1 keer
edit:
Je zou toch verwachten dat ondertussen alle gedefacete websites weer hersteld zouden zijn (of grotendeels).
En hoe deze worm nou enorm veel dataverkeer veroorzaakt is me niet duidelijk; als de administrator z'n site weer wil herstellen moet deze toch ook alle bestanden herstellen (en dus uploaden). De worm doet het toch maar 1 keer
edit:
Je zou toch verwachten dat ondertussen alle gedefacete websites weer hersteld zouden zijn (of grotendeels).
:strip_icc():strip_exif()/u/25528/crop6262b474a9363_cropped.jpg?f=community){kind=small}
En hoe deze worm nou enorm veel dataverkeer veroorzaakt is me niet duidelijk; als de administrator z'n site weer wil herstellen moet deze toch ook alle bestanden herstellen
Als het om 1 site zou gaan, zou je gelijk hebben. Maar het veroorzaakt veel dataverkeer, omdat die worm voortdurend het web afzoekt naar systemen die besmet (of, in dit geval: gerepareerd) kunnen worden. Het blijft dus niet beperkt tot die ene site...
Als het om 1 site zou gaan, zou je gelijk hebben. Maar het veroorzaakt veel dataverkeer, omdat die worm voortdurend het web afzoekt naar systemen die besmet (of, in dit geval: gerepareerd) kunnen worden. Het blijft dus niet beperkt tot die ene site...
/u/18025/tape2.JPG?f=community){kind=small}
Best slim eigenlijk, dezelfde kick, maar de kans op straf is een stuk minder.
Desalnietemin lijdt het internet-netwerk er niet minder door.
Desalnietemin lijdt het internet-netwerk er niet minder door.
:strip_icc():strip_exif()/u/39264/notpingu.jpg?f=community){kind=small}
Het blijft hoe dan ook het inbreken in een site zonder toestemming. Om die afgrijselijke huis-analogie er maar weer eens bij te slepen: als je ziet dat ergens bij een willekeurig huis de deur open staat, en je gaat naar binnen om te controleren of de kluis wel dicht is en het sieradenlaatje nog vol zit, dan lijkt dat misschien nobel, maar het is nog steeds 'inbreken'.
Bovendien ligt er een zeer dunne lijn tussen wenselijk en niet wenselijk als de worm een gemod forum overschrijft. Ik hoop niet dat dit soort dingen een trend worden, want dan gaat de lijn tussen goedaardige wormen en trojans die spyware installeren steeds meer vervagen.
@Mosymuis
Bovendien ligt er een zeer dunne lijn tussen wenselijk en niet wenselijk als de worm een gemod forum overschrijft. Ik hoop niet dat dit soort dingen een trend worden, want dan gaat de lijn tussen goedaardige wormen en trojans die spyware installeren steeds meer vervagen.
@Mosymuis
Niet mee eens. Hij dringt weldegelijk binnen om de sloten op je deuren te vervangenDeze worm gooit alleen de deur dicht, en inspecteert verder niets.
:strip_icc():strip_exif()/u/50282/crop5f6d92956b6af_cropped.jpeg?f=community){kind=small}
Deze worm gooit alleen de deur dicht, en inspecteert verder niets.Om die afgrijselijke huis-analogie er maar weer eens bij te slepen: als je ziet dat ergens bij een willekeurig huis de deur open staat, en je gaat naar binnen om te controleren of de kluis wel dicht is en het sieradenlaatje nog vol zit
als je ff iets doen bent en geen sleutel bij hebt hoe blij ben je dan dat de buurman de deur dicht maakt?
Desalnietemin lijdt het internet-netwerk er niet minder door.
Nee, juist meer: nu rennen er twee wormen rond over het internet, in plaats van 1...
Nee, juist meer: nu rennen er twee wormen rond over het internet, in plaats van 1...
Ik vind dat men ALTIJD van deze "worms" moest vrijlaten (beter "birds", zoals iem hierboven al opmerkte), mensen die vergeten/te lui zijn om hun forum te patchen zijn zo ten minste beschermd.
Ik denk dat het voor hackers toch ook een beter gevoel geeft om te kunnen zeggen " kijk eens hoeveel duizenden websites ik heb beschermd!"
Ik denk dat het voor hackers toch ook een beter gevoel geeft om te kunnen zeggen " kijk eens hoeveel duizenden websites ik heb beschermd!"
Dan is het maken van een auto-updater ook geen slecht idee, dan doet het forum het zelf wel...
/u/10064/leuk_he.png?f=community){kind=small}
Bij blaster is er ook een "blaster repair" bird geweest. Die veroorzaakte echter evenveel schade dan het oorsprokelijke virus omdat het heel veel dataverkeer gebruikte omdat dat die bird eerst een website ging pingen, en dan pas ging "oplossen".
Dit is wat wordt bedoeld, dat dit soort anti viri wordt geactiveerd. Je kunt niet overzien hoeveel verkeer een virus veroorzaakt. Veel worm-virussen zijn juist schadelijk geworden doordat de maker niet kon overzien wat er gebeurde als er veel viri los draaiden, zelf als er code in zat die de verspreiding snelheid beperkte.
Dit is wat wordt bedoeld, dat dit soort anti viri wordt geactiveerd. Je kunt niet overzien hoeveel verkeer een virus veroorzaakt. Veel worm-virussen zijn juist schadelijk geworden doordat de maker niet kon overzien wat er gebeurde als er veel viri los draaiden, zelf als er code in zat die de verspreiding snelheid beperkte.
http://www.forum.moto-portal.pl/secure.php
Dat is een site die deze Anti-Santy-worm heeft gehad
En zie eigenlijk niks op het forum zelf dat is aangepast behalve die secure.php
Dat is een site die deze Anti-Santy-worm heeft gehad
En zie eigenlijk niks op het forum zelf dat is aangepast behalve die secure.php
De viewtopic.php die gebruikt wordt op dit site is niet aangetast. Dus ik vermoed dat de webmaster een kopie gemaakt heeft van een
"geinfecteerde" viewtopic.php naar secure.php.
Maw: De webmaster heeft het al gepatched waardoor er niets meer te zien is.
"geinfecteerde" viewtopic.php naar secure.php.
Maw: De webmaster heeft het al gepatched waardoor er niets meer te zien is.
/u/22274/banaan60x60.png?f=community){kind=small}
Nu ben ik misschien wel heel paranoia en ik heb ook niet echt veel kaas gegeten van de vele internet protocollen.
Maar mij viel het volgende op:
Bij de upgradeserver staat een ip nummer, althans daar ga ik van uit. Met een beetje zoeken naar dat IP, lijkt dat afkomstig te zijn van een of andere telefoontoko in Argentinië
Kortom, mocht die Santy een backdoor of zo hebben achtergelaten, dan lijkt het me dus, dat je toch verder kunt klieren, ook al is heel die phpBB exploit opgelost.
Maar mij viel het volgende op:
Bij de upgradeserver staat een ip nummer, althans daar ga ik van uit. Met een beetje zoeken naar dat IP, lijkt dat afkomstig te zijn van een of andere telefoontoko in Argentinië
Kortom, mocht die Santy een backdoor of zo hebben achtergelaten, dan lijkt het me dus, dat je toch verder kunt klieren, ook al is heel die phpBB exploit opgelost.
:strip_exif()/u/67459/m002.gif?f=community){kind=small}
Geen idee wat dat toch is met dat phpBB, elke keer is er wel weer een 'bugje' te vinden in hun code die 9 van de 10 keer exploitable is.
[edit: wat betreft bovenstaande post, deze worm zoekt het inet af naar phpBB sites, en zal dus alle phpBB sites 'bezoeken' = extra dataverkeer]
Vraag me alleen af hoe deze worm zichzelf verspreid? of is het Anti 'Santy-worm' ?
[edit: wat betreft bovenstaande post, deze worm zoekt het inet af naar phpBB sites, en zal dus alle phpBB sites 'bezoeken' = extra dataverkeer]
Vraag me alleen af hoe deze worm zichzelf verspreid? of is het Anti 'Santy-worm' ?
Die indruk krijg je misschien omdat T.net sinds december hier al drie berichten aan heeft gewijd, maar besef wel dat het nog steeds om dezelfde bug gaat, waarvoor in november al een pacth beschikbaar was.Geen idee wat dat toch is met dat phpBB, elke keer is er wel weer een 'bugje' te vinden in hun code die 9 van de 10 keer exploitable is.
Deze forum-wormen zijn een interessant fenomeen, maar teren nog steeds allemaal op dezelfde exploit.
:strip_icc():strip_exif()/u/122500/crop603e52cddaec1_cropped.jpg?f=community){kind=small}
Deze bug is een fout in een PHP-functie. Het is dus niet zo dat er een bug zit in phpBB. Ze gebruiken vanaf 2.0.11 een deze functie niet meer.
Bron: http://www.php.netA recent Web Worm known as NeverEverSanity exposed a mistake in the input validation in the popular phpBB message board application. Their highlighting code didn't account for double-urlencoded input correctly. Without proper input validation of untrusted user data combined with any of the PHP calls that can execute code or write to the filesystem you create a potential security problem. Despite some confusion regarding the timing of some unrelated PHP security fixes and the NeverEverSanity worm, the worm didn't actually have anything to do with a security problem in PHP.
Blijkbaar dus toch niet.
Dit misverstand is ook hardnekkig, zeg. Nog maar eens.De PHP unserialize() bug van 15/12 in PHP4 < 4.3.10 en PHP5 < 5.0.3, en de phpBB urldecode() highlight bug van 12/11 in phpBB < 2.0.11, zijn twee verschillende zaken. Hoewel er voor beiden phpBB exploits circuleren maakt deze worm maar gebruik van één bug: die in phpBB zelf. Met de PHP bug exploit is het überhaupt niet mogelijk bestanden te wijzigen, alleen te bekijken, zoals je config.php.
De bug in PHP kan je oplossen door, natuurlijk, PHP te updaten, óf door het gebruik van de onofficiële work around. Door phpBB up te graden naar 2.0.11 verhelp je dit probleem niét, omdat deze nog steeds gebruik maakt van unserialize().
De urldecode werd hier gebruikt door de worm.
zou toch leuker geweest zijn deze de Santy-Bird te dopen?
vogeltjes eten toch wormen....
vogeltjes eten toch wormen....
De bedoeling achter dze worm is waarschijnlijk om de niet-gepatchte forums te bereiken en te patchen, heel knap gezien, want diegene die hun forum gepatched heeft, krijgt deze worm dus niet binnen, zo heb je een hoger percentage patching dan enkel met een patch uit tegeven waar 50% niet op reageert!
Wat niet vermeld wordt is dat deze worm slechts 1 dag op een systeem blijft zoeken naar andere geinfecteerde forums en na 24uur zichzelf stopt.
Krijgen we nou een worm/anti-worm oorlog op inet of zo? Hoop niet dat dat een nieuwe rage gaat worden voor 2005. Dit is typisch een geval van "goed bedoeld maar slecht doordacht" als je het mij vraagt.
lijkt me eerlijk gezegt geweldig, worms die Auto Update enabelen, Kaspersky instaleren, ad/spyware removen en een knappe firewall mee nemen
Als je dat ongewenst vind moet je maar je zaken op orde houden...
Als je dat ongewenst vind moet je maar je zaken op orde houden...
:strip_exif()/u/35172/elmo.gif?f=community){kind=small}
doet me denken aan mijn windows installatie script +)
-edit: euw fout-
kaspersky op een Unix bak?
/u/40481/crop63f777c898038_cropped.png?f=community){kind=small}
dit wat de taak van menig hacker is/was eigenlijk. alleen een worm doet een generale fix wat niet altijd even goed uitpakt daarnaast is het naar mijn idee de verantwoordelijkheid vd site admin om z'n site te updaten. als het belangrijk is fixen ze wel even hun eigen site
met de anti santy worm zal het belangrijk genoeg worden om zijn site te fixen als hij plaat gaat. weer een admin die dan een wijze les heeft geleerd
Die patch was er al een behoorlijke tijd... ook voor mensen die handmatig modden.Ik vind wel dat mensen die deze Anti-wormen maken, er gewoon een nette patch van moeten maken...
Overigens lijkt het mij sterk dat de worm sterk gewijzigde forums onklaar maakt, als het alleen de urldecode() functie weghaalt uit viewtopic, wat in feite de oplossing is voor het probleem. Als het een standaard viewtopic.php op de server plaatst kan dat wel problemen geven, maar dat lijkt me sterk.
:strip_exif()/u/54579/Static.gif?f=community){kind=small}
die is er maar somige site admins zijn te lui om hem te instaleeren
Ik denk dat het eerder een probleem is dat veel admins niet op de hoogte zijn van het lek. Anders verdien je natuurlijk wel om plots je site kwijt te zijn.
Windows? Welke Windows? Windows NT? Windows 95? Windows XP?Een worm die je forum hersteld... nu nog worm om Windows van alle lekken te herstellen, en dan ben ik ook heel erg blij.
Noem maar eens een lek in Windows XP met SP2 behalve deze die Microsoft gedicht heeft voor het door de massa ontdekt werd.
Je kunt niet verwachten dat oude versies van Windows geen lekken bevatten.. bijna elk ongepatcht OS van 5 jaar geleden is zo lek als een mandje.
Op dit item kan niet meer gereageerd worden.