| Vorheriges Thema anzeigen :: Nächstes Thema anzeigen |
| Autor |
Nachricht |
Nobody
Anmeldedatum: 30.10.2004
Beiträge: 69
|
|
| Nach oben |
|
 |
Birdy
Board-Angestellter
Anmeldedatum: 26.10.2004
Beiträge: 2890
Wohnort: Bayern
|
 Verfasst am: Mi, 22.12.2004 23:42 Titel: |
 |
|
Ist bekannt, trotzdem danke 
Im Moment betrifft uns dieser Wurm nicht, da Google die viewtopic.php von diesem Board nicht indiziert hat. Also kann der Wurm dieses Board nicht finden. |
|
| Nach oben |
|
|
Supimajo
Anmeldedatum: 28.10.2004
Beiträge: 3821
|
| Verfasst am: Mi, 22.12.2004 23:50 Titel: |
|
|
Betrifft eh nur "Webmaster" die zu faul/böd waren URL-Rewriting zu aktivieren......
_________________
Wer viel trinkt, stirbt zwar früher, hat aber im Leben dafür doppelt so viel gesehen. |
|
| Nach oben |
|
|
Miriam Koslowski
Anmeldedatum: 26.10.2004
Beiträge: 3034
|
|
| Nach oben |
|
|
Supimajo
Anmeldedatum: 28.10.2004
Beiträge: 3821
|
| Verfasst am: Do, 23.12.2004 09:09 Titel: |
|
|
Ich finds einfach nur traurig daß sowas überhaupt passiert.
Die Schuld muß man dabei aber bei beiden suchen.
Zum ersten bei denen, die solche Würmer schreiben, aber auch bei den sogenannten Webmastern, die den Sicherheitsaspekt einfach schlabbern.
Sicher gibt es keinen 100%igen Schutz vor allem, aber wenn ein Webmaster noch nichtmal die bekannten Lücken schließt ist er es irgendwo selber schuld, oder?
_________________
Wer viel trinkt, stirbt zwar früher, hat aber im Leben dafür doppelt so viel gesehen. |
|
| Nach oben |
|
|
Supimajo
Anmeldedatum: 28.10.2004
Beiträge: 3821
|
| Verfasst am: Do, 23.12.2004 09:40 Titel: |
|
|
Falls es jemanden interessiert:
Man kann sich vor dem Wurm schützen, indem man folgendes in die .htaccess einträgt:
| Code: |
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
RewriteRule ^.*$ - [F]
|
Und hier der Quelltext des Wurms:
| Code: |
"GET
/viewtopic.php?p=9002&sid=f5
399a2d243cead3a5ea7adf15bfc872&highlight=%2527%252Efwrite(fopen(chr(109)%252echr
(49)%252echr(104)%252echr(111)%252echr(50)%252echr(111)%252echr(102),chr(97)),ch
r(35)%252echr(33)%252echr(47)%252echr(117)%252echr(115)%252echr(114)%252echr(47)
%252echr(98)%252echr(105)%252echr(110)%252echr(47)%252echr(112)%252echr(101)%252
echr(114)%252echr(108)%252echr(10)%252echr(117)%252echr(115)%252echr(101)%252ech
r(32)),exit%252e%2527 HTTP/1.0" 200 13648 "http://forum.CLIENT SITE
OMITTED.com/
viewtopic.php?p=9002&sid=f5399a2d243cead3a5ea7adf15bfc872&highlight=%2527%252Efw
rite(fopen(chr(109)%252echr(49)%252echr(104)%252echr(111)%252echr(50)%252echr(11
1)%252echr(102),chr(97)),chr(35)%252echr(33)%252echr(47)%252echr(117)%252echr(11
5)%252echr(114)%252echr(47)%252echr(98)%252echr(105)%252echr(110)%252echr(47)%25
2echr(112)%252echr(101)%252echr(114)%252echr(108)%252echr(10)%252echr(117)%252ec
hr(115)%252echr(101)%252echr(32)),exit%252e%2527" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)"
|
_________________
Wer viel trinkt, stirbt zwar früher, hat aber im Leben dafür doppelt so viel gesehen. |
|
| Nach oben |
|
|
Supimajo
Anmeldedatum: 28.10.2004
Beiträge: 3821
|
| Verfasst am: So, 26.12.2004 12:54 Titel: |
|
|
Nur mal so zur Info:
Heute wurde mein Server von diesem neuen PHP-Wurm (nicht der phpBB) angegriffen.
Die Einträge in der .htaccess wie ich weiter oben beschrieben habe (allerdings auf den neuen Wurm abgewandelt), haben den Angreifer erfolgreich abgewehrt! 
_________________
Wer viel trinkt, stirbt zwar früher, hat aber im Leben dafür doppelt so viel gesehen. |
|
| Nach oben |
|
|
Birdy
Board-Angestellter
Anmeldedatum: 26.10.2004
Beiträge: 2890
Wohnort: Bayern
|
| Verfasst am: So, 26.12.2004 13:36 Titel: |
|
|
Da die meisten Suchmaschinen auf die robots.txt schauen, kannst Du mit der Datei schon mal verhindern, dass die grossen Suchmaschinen wie Google oder Yahoo die viewtopic.php indizieren. Somit kann die Datei nicht von dem Wurm gefunden werden. Allerdings übergehen einige Suchmaschinen diese Datei, also ist es eher kein 100%iger Schutz vor diesen dämlichen Krabbeltieren.
Ansonsten reicht es, wenn Du den Workaround in Dein Forum einbaust, der im phpBB-Forum zu finden ist -> klicksch Du
Version 2.0.11 vom phpBB2 installieren ist natürlich die sicherste aller Möglichkeiten - sollte man vielleicht auch hier tun... |
|
| Nach oben |
|
|
Supimajo
Anmeldedatum: 28.10.2004
Beiträge: 3821
|
| Verfasst am: So, 26.12.2004 14:42 Titel: |
|
|
| Birdy hat Folgendes geschrieben: | Da die meisten Suchmaschinen auf die robots.txt schauen, kannst Du mit der Datei schon mal verhindern, dass die grossen Suchmaschinen wie Google oder Yahoo die viewtopic.php indizieren. Somit kann die Datei nicht von dem Wurm gefunden werden. Allerdings übergehen einige Suchmaschinen diese Datei, also ist es eher kein 100%iger Schutz vor diesen dämlichen Krabbeltieren.
Ansonsten reicht es, wenn Du den Workaround in Dein Forum einbaust, der im phpBB-Forum zu finden ist |
Ich benutze ja gar kein phpBB Und der Wurm, den ich beschrieben habe, ist ein reiner PHP-Wurm, der mit dem CMS rein gar nichts zu tun hat.
Von rotots.txt halte ich überhaupt nichts, weil immer weniger Bots sich dran halten.
_________________
Wer viel trinkt, stirbt zwar früher, hat aber im Leben dafür doppelt so viel gesehen. |
|
| Nach oben |
|
|
KillaByte
Anmeldedatum: 26.10.2004
Beiträge: 4313
Wohnort: Stuttgart
|
| Verfasst am: Mo, 28.02.2005 14:22 Titel: |
|
|
Es ist mal wieder ein phpBB-Update fällig - siehe
http://www.heise.de/newsticker/meldung/56866
Zumindest den manuellen Fix für die kritische Lücke sollte man mal einbauen.
_________________
"Es war genau wie bei 'Karate Kid' - aus dem Kino raus mit dem 'ich mach jetzt Karate'-Blick" |
|
| Nach oben |
|
|
Birdy
Board-Angestellter
Anmeldedatum: 26.10.2004
Beiträge: 2890
Wohnort: Bayern
|
| Verfasst am: Mo, 28.02.2005 14:40 Titel: |
|
|
Wenns denn nur dieser eine Fix wär.
Es wären auch noch zwei andere Lücken zu schliessen, die in unserer Version 2.0.11 noch drin sind. Mal mit Retro darüber reden, wie wir das machen sollen... |
|
| Nach oben |
|
|
RetroMan
Board-Angestellter
Anmeldedatum: 26.10.2004
Beiträge: 6903
|
| Verfasst am: Di, 01.03.2005 19:35 Titel: |
|
|
| Ich guck mir das nachher mal an, danke |
|
| Nach oben |
|
|
KillaByte
Anmeldedatum: 26.10.2004
Beiträge: 4313
Wohnort: Stuttgart
|
| Verfasst am: Mo, 18.07.2005 18:43 Titel: |
|
|
Langsam wirds wirklich mal Zeit für ein phpBB-Update:
http://www.heise.de/newsticker/meldung/61794
Man muss ja nicht so lange mit dem Update warten, bis mal was passiert...
_________________
"Es war genau wie bei 'Karate Kid' - aus dem Kino raus mit dem 'ich mach jetzt Karate'-Blick" |
|
| Nach oben |
|
|
Amiga500
Anmeldedatum: 11.01.2005
Beiträge: 1409
|
| Verfasst am: Mo, 18.07.2005 19:06 Titel: |
|
|
dort steht aber das nur user die sich beiträge mit ie angucken betroffen sind und da ie wohl kaum einer nutzt ist es ja nicht so schlimm...
_________________
Amiga 500
020 4MB
2MB Chip
8MB Fast
Kick 1.3
631 MB HD
Skriptvirus-URL gelöscht! |
|
| Nach oben |
|
|
DJBase
Gast
|
| Verfasst am: Mo, 18.07.2005 20:59 Titel: |
|
|
| Das Forum hier ist soweit uch weiß auf dem aktuellen Stand, sprich 2.0.16, nur der Versions-Datenbankeintrag ist nicht geändert worden. |
|
| Nach oben |
|
|
|
FAQ
Suchen
Mitgliederliste
Benutzergruppen
Registrieren
Profil
Einloggen, um private Nachrichten zu lesen
Login
