NeverEverNoSanity WebWorm generation 20.

[yui]

Tach zusammen,

zu Testzwecken hatte ich mir bei Manitu am 24.12. Contenido 4.5.2-Alpha installiert. Heute ist die Startseite verunstaltet mit

This site is defaced!!!
NeverEverNoSanity WebWorm generation 20.

Hier http://www.heise.de/security/news/meldung/54504 ist zu lesen, dass dieser Wurm phpBB befällt sowie das Content Management System N/X.

Könnt Ihr etwas dazu sagen?

Frohe Weihnachten!
yui

[timo]

nein leider nicht...aber so wie ich das verstanden habe ist das ein PHP-Problem, kein Applikationsproblem - d.h. es ist jedem empfohlen, sofort auf die neuste PHP-Version upzudaten.

[HEX]

So wie ich das verstanden habe, ist es ein Applikationsproblem:

http://www.pcwelt.de/defaults/drucken.c ... &pk=106085
http://www.golem.de/0412/35366.html

http://www.klamm.de/partner/unter_news. ... 887&l_id=4
http://www.phpbb.com/phpBB/viewtopic.php?t=240513

Inzwischen hat es auch bei mir die erste Kundenseite auf Basis Contenido erwischt...

[emergence]

ich hab mir den wurm jetzt etwas angesehen...
netter code übrigens...

also erstens betroffen sind alle server die perl unterstützen
es ist egal auf welchem bereich des webspace der wurm zuschlägt es werden alle dateien mit endung .htm(l) .php(3) .asp .shtm .jsp .phtm(l) etc. mit dem defaced überschrieben.... unabhängig vom server verzeichniss...

d.h. es ist nicht gesagt das der einstiegspunkt contenido ist...
aufschluss darüber kann nur das access_log des servers geben...

betroffen sind momentan alle variablen die mittels urldecode seitens get nachbehandelt werden... sobald diese wie zb bei phpBB in einem preg ausdruck verwendet werden, wird der code ausgeführt... wirklich clever gemacht...
d.h. kann natürlich auch bedeuten, dass die überprüfung auf vorkommende zeichenketten den code ausführen kann...

tja was man machen könnte wäre sämtlich get und post werte zu filtern
eventuell mittels folgendem ausdruck
/27%2E(.*)%2e%27/i
ne lösung ist das aber leider nicht...

man kann an sich nur darauf hoffen das der provider so schnell als möglich auf die aktuellsten phpversionen umstellt...

[kummer]

dann ist wirklich php betroffen und nicht der code des forums?

[emergence]

ach ja hier der link mit dem script... ist ne nette lektüre
-> http://marc.theaimsgroup.com/?l=bugtraq ... 909029&w=2

es sind wie gesagt mehrere punkte die zusammen gekommen sind...
intressant war wie gesagt die ausführbarkeit des codes innerhalb einer preg anweisung... das läßt sich aber nunmal nicht ohne weiteres im code von php beheben...

wie gesagt ist nur meine einschätzung des codes...
wenn man sich auch die betroffende passage aus dem phpBB ansieht, läßt dies nur die möglichkeit eines php bugs übrig...

[Arno Simon]

Hallo zusammen,

mich hätte interessiert ob sich zwischenzeitlich

1. weitere betroffene Contenido-Seiten ergeben haben

und wenn 1. zutrifft

2. ob bereits bekannt ist über welche Einstiegsstellen contenido von diesem Wurm betroffen ist

sowie

3. ob es bereits entsprechende Bekämpfungsansätze (abgesehen vom php-Upgrade) gibt?

Gruß

Arno

[kummer]

es handelt sich dabei ganz offensichtlich nicht um ein problem von php (siehe php.net), sondern von phpBB und anderen anwendungen. insofern dürfte ein update von php nichts helfen.

ich vermute mal (zu lesen: ich vermute), dass nicht contenido davon betroffen ist, sondern bloss diejenigen seiten, welche im gleichen host noch ein phpBB-forum laufen haben. der wurm verändert dann dateien im filesystem und davon kann dann natürlich auch contenido (wie im übrigen jede andere anwendung und site auf dem gleichen host) betroffen sein.

[swelpot]

so... mich hat es dann auch erwischt...
http://www.lothar-scholz.de
WAR ein 4.4.4-er...

habe allerdings zur zeit noch keinerlei überblick über die geschichte...
nur soviel: es ist ein shared hosting angebot...

weiteres, wenn sich der provider gerührt hat...

grüße

stefan

[timo]

ich glaube nicht, daß Contenido angreifbar ist...

denkbar ist, daß jemand auf dem Shared Webserver ein verwundbares phpBB laufen gehabt hat...

[swelpot]

so, die antwort ist da und nicht gerade sehr freundlich... aber das ist eine andere sache...
zusammengefasst:
a) angeblich ist ein hosting-übergreifender befall technisch nicht möglich (phpBB und (in diesem fall) contenido auf dem gleichen server, jedoch in unterschiedlichen hostings)
b) hinweis auf folgenden artikel: http://www.pcwelt.de/news/sicherheit/106195/
der über neue varianten des wurms berichtet, die "schlecht" programmierte include- bzw. require-anweisungen enthält. was schlecht auch immer bedeuten mag...

grüße

stefan

[emergence]

mal klartext
der provider kann sehr wohl den einstiegspunkt ermitteln
er soll sich die access_log des servers ansehen...

[kummer]

und mir ist auch nicht so ganz klar, wie man mit einer suche bei google herausfinden will, wo ein include gemacht wird und wo nicht. das ist völliger unsinn. weil für einen browser (und in der folge auch für google) der quellcode nicht sichtbar ist. damit der sichtbar wäre, müsste schon der parser ausgeschaltet sein.

das ist eine seltsame aussage in diesem artikel.

[neu@cidnet.de]

kann sowas auch bei eingeschaltetem safe_mode passieren?
wenn ich es richtig verstanden habe, muss das doch auf den server upgeloaded werden, und kann dann erst aktiv werden?! oder?

[timo]

das ist eine seltsame aussage in diesem artikel.

Das einzige, was über Google herausgefunden wurde, war eine bestimmte PHP-Datei von phpBB, da diese bekanntermaßen "vulnerable" war. Gottseidank hat Google relativ schnell reagiert und sämtliche Suchanfragen über diese Datei gesperrt.