Wurm-Attacke auf phpbb-boards

[Ansgar Berhorn]

Heute (in Europa ist es schon gestern..) wurden wie heise meldet, einige Seiten von Fachzeitschriften gehackt.
Bei mens-health.de kann man zur Zeit noch das Ergebnis betrachten, connect.de ist scheinbar vollständig vom Netz.
Etwas ähnliches hatten wir ja vor 2,5 Wochen hier in der Diskussion: topic-4720

Das beunruhigende dabei ist, dass es sich scheinbar um die Atacke eines Wurms namens Net-Worm.Perl.Santy.a handelt:
http://www.kaspersky.com/news?id=156681162

Grob sieht so der Ablauf aus:
- Wurm sucht über Google nach verwundbarem phpbb-Board
- Wurm attackiert Seite über viewtopic-Schwachstelle , überschreibt alle Inhalte von .htm, .php, .asp, .shtm, .jsp und .phtm Dateien auf dem Server
- versucht sich über eine weitere Sicherheitslücke (Highlight-Exploit) auf dem Server zu installieren, um sich weiter zu verbreiten

Alles in allem liest sich das für mich extrem bedenktlich, da zum einen leistungsfähige Internetserver kompromittiert werden und als Ausgangsbasis für weitere Attacken bereitstehen. Die Google-Server sind bekanntlich auch nciht die langsamsten, so dass eine extrem schnelle Verbreitung möglich ist.

Die Frage ist, ob man, wenn das Beispiel Schule macht, als Webmaster in Zukunft noch ruhig schlafen kann?

 

[Remo Uherek]

Dies ist wohl der Nachteil weit verbreiteter Open-Source-Lösungen. Als Webmaster muss man heute auf der Hut sein!

 

[Ansgar Berhorn]

QUOTE Dies ist wohl der Nachteil weit verbreiteter Open-Source-Lösungen.

Was ist denn konkret der Nachteil, den hier speziell Open-Source-Lösungen haben?
Andere quelltext-offene Lösungen sind genauso betroffen.
vBulletin ist sicherlich ebenso ähnlich weit verbreitet und ist auch im Quelltext einsehbar.
Und auch in nicht quelltext-offener Software lassen sich auch genügend Sicherheitslücken finden (siehe Microsoft Windows).

Am Ende entscheidet eher die Popularität. Und die ist bei phpBB sicherlich vorhanden.

 

[Webi]

Bin gleicher Meinung wie Ansgar. Es ist eher die Popularität, die ein Produkt anfällig macht. Je öfter ein Produkt verwendet wird, desto grösser ist auch der Schaden, den man anrichten kann.

 

[Sandro Feuillet]

Google hat reagiert.

gruss Sandro

 

[Mike]

Die Lücke war aber schon mehr als ein Monat bekannt und es war seitdem auch ein Pacth verfügbar. Viele phpBB-Supportforen haben auch auf den Fehler hingewiesen, ist mal wieder der Fall, dass der Anwender es selber schuld war, das er sich nciht die 5 MInuten Zeit genommen hat, sein Board upzudaten. Ist bei vielen anderen Lücken doch im Prinzip genauso^^

 

[David Reisner]

Guten Tag!
Wink mit dem Zaunpfahl für mich.. ich war zwar (diesmal..) nicht befallen, aber ein Update muss kommen.

 

[Ansgar Berhorn]

Hier ist ein Quellcode-Beispiel des Wurms.

Man kann auch gleich nachvollziehen, wie die Verarbeitung der Google-Suche über http mit perl funktioniert.

 

[Urs]

gehts um dies?

QUOTE Die von dem seit gestern umlaufenden Wurm Santy ausgehende Gefahr ist gebannt. Google hat nach Aufforderung durch Anti-Viren-Hersteller dem Spuk ein Ende gemacht.


http://www.intern.de/news/6322.html

 

[jakWEB]

zum Glück hab ich mein Board schon auf .11 updated!

 

[felixfuu]

QUOTE das er sich nicht die 5 MInuten Zeit genommen hat, sein Board upzudaten.


...die 3 Stunden

...naja dafür hab ich jetzt ein phpbb2plus mit allen Beiträgen und Usern der alten Version von Phpbb.

Bei dem Aufwand den man hat, ist es leider nicht für jeden Webmaster möglich, für JEDE Software JEDE Woche nach Updates zu gucken. Ich hab jetzt alle verschiedenen PHPbb2 ins phpbb2plus integriert, damit ich eventuelle Updates wenigstens nur einmal machen muss.

Leider wurde auch mein System befallen und hat wohl auch noch mitgeholfen den Wurm zu verbreiten. Noch ärgerlicher ist für mich, dass der Wurm in Perl geschrieben ist, weil ich auch noch heute für manche Scripte Perl eher verwende als PHP, aber nicht für sowas...

Ich kenne soviele, ja zuviele Seiten, deren Boards down waren. Die Information hat hier eindeutig nicht geklappt.

 

[Ansgar Berhorn]

QUOTE Bei dem Aufwand den man hat, ist es leider nicht für jeden Webmaster möglich, für JEDE Software JEDE Woche nach Updates zu gucken

Schwerwiegende Sachen wie diese sollte man aber halbwegs automatisch mitbekommen.
Erstmal sollte man ja nicht sofort Gewehr bei Fuß stehen und blind alle Updates einspielen.
Erstmal kommt ja die Frage: Bin ich mit meinem System potentiell gefährdet?
Der Workaround hier im phpBB-Fall ist ja recht schnell ausgeführt.



QUOTE Ich kenne soviele, ja zuviele Seiten, deren Boards down waren. Die Information hat hier eindeutig nicht geklappt.

Mit Information HIER meinst du, die Betreiber der Seiten haben nicht reagiert?


Es geht übrigens mit neuen Mutationen weiter, diesmal über Yahoo:
http://www.heise.de/newsticker/meldung/54612

 

[Lucas Wyrsch]

Ja meine KollegInnen und Kollegen, es dürfte sich um eine durchaus Ernst zu nehmende Wurmattacke handeln!

Neue Versionen des Santy-Wurms bedrohen PHP-Installationen Golem.de -
Zehntausende Webseiten durch Wurm geknackt Netzeitung
Neuer Wurm geht auf Webforen los Der Standard
Handelsblatt - GFX-World - IT SecCity - und 8 ähnliche Artikel »

Gruss

Lucas

 

[Mike]

Der Patch für das phpBB kam schon am 18.11.04 raus.
Zudem hat das phpBB-Team zumindest an alle im offiziellen Supportforum angemeldeten User eine Email mit Hinweisen geschickt. Auch wurde an anderen Stellen darauf hingewiesen.

Das die neuen Wurmvarianten auch die neuste phpBB-Version befallen können, stimmt nicht, bisher ist es so sicher.
Wer dazu noch die Ausführung von shell_exec() unterbindet, hat sowieso nichts zu befürchten.

 

[felixfuu]

Ja, jetzt weiss man davon, aber vor dem 20./21. war das nicht der Fall. Da hat der Wurm ja eingeschlagen wie ne Bombe weil er über Google suchen ging.

Ich hab keine Lust bei jeder Software die ich installiere X hoch 27 Optionen zu haben die man Sicherheitshalber ausschalten muss. Bin eigentlich ein Anwender und nicht Betriebsystem-Programmierer. Obwohl man das scheinbar sein muss, wenn man nen Webserver betreibt.

 

[Lucas Wyrsch]

Hier noch eine nützliche Liste von PHP Bücher für alle, die mit PHP nicht sattelfest sind und sich nach Hilfen in gedruckter Form sehnen!

 

[Ansgar Berhorn]

QUOTE Ich hab keine Lust bei jeder Software die ich installiere X hoch 27 Optionen zu haben die man Sicherheitshalber ausschalten muss. Bin eigentlich ein Anwender und nicht Betriebsystem-Programmierer. Obwohl man das scheinbar sein muss, wenn man nen Webserver betreibt.

@felixfuu
Zum Betriebsystem-Programmierer wirst du nicht, wenn du eine Codezeile im phpBB-Quelltext austauschst.

Wenn man so ein Forum betreibt, sollte man nunmal regelmäßig die Seite des Anbieters aufsuchen oder einen News-Dienst lesen, wo Meldungen zu kritischen Sicherheitslücken kommen.
Oft gibt es auch Mailinglisten, so dass man die Meldungen direkt per Email bekommt.

Dann solltest du dir aber wirklich überlegen, ob weiterhin eine solche Anwendung auf einem Webserver betreiben willst, wenn du keine Motivation hast, die Verantwortung dafür wahrzunehmen.

 

[felixfuu]

Was heisst hier 1 Board betreiben. Das wär ja noch schön, wenns nur eines wäre. Ich hab schon Verantwortung und auch die nötige Motivation dazu, aber kaum Zeit. Ich glaube da werd ich leicht falsch interpretiert. Hab ja jetzt auch einige unnötige Board geschlossen und/oder zusammengelegt.

Ein Addon welches automatisch nach Updates guckt wär vlt. keine schlechte Idee. Mails nüzten wenig, die gehen sowieso irgendwo unter. Bücher, naja...ist ja alles Online zu finden wenn man mal was sucht.