Взлом этого форума

[Sergey]

Недавно рассказали мне анекдот:
Идет священник по улице и вдруг видит что толпа людей избивает молодого человека. Он бросился к ним с криком "Что вы делаете, остановитесь! Одумайтесь!". Один из бьющих повернулся к святому отцу и сказал: "Его за дело бьют, он спаммер". Священник: "Разойдитесь, дайте и мне..... вы неправильно бьете, надо вот так, ногами...."

[эксадмин]

я вчера ради интереса поискал в яндексе...

Это только к базе доступ форума, а вчера взлом был иного рода неотносящийся к форуму. Вчера была неоднократная попытка удалить все файлы сайта и форума, но наш сист. администратор успел это предотвратить. Кричим гип-гип Ура-А-А!
p.s.
Sergey, версия программного обеспечения форума теперь обновлена! Спасибо за столь важное сообщение на мой почтовый ящик. На Новый Год ждите сюрприз от СОКа.

[Sergey]

Гип-гип ур-р-ра!!!!

[эксадмин]

Как выяснилось в последствии, новый червь написаный хакерами заражает сайты на phpBB


Российская антивирусная компания «Лаборатория Касперского» сообщает об обнаружении нового опасного интернет-червя Net-Worm.Perl.Santy.a.

Вредоносная программа заражает веб-сайты, используя для размножения уязвимость в популярном приложении для создания интернет-ресурсов — phpBB. В настоящее время распространение программы достигло эпидемиологического порога, что позволяет говорить о полномасштабной эпидемии в глобальной Сети. Однако данная эпидемия не затрагивает пользователей персональных компьютеров — поражая веб-сайты, червь не представляет опасности для посетителей зараженных ресурсов.

Для своего распространения через интернет червь использует достаточно необычный метод. Вредоносная программа формирует специальный запрос для поисковой системы Google, в результате чего находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую процедуру активизации уязвимости. В результате обработки данной процедуры атакуемым сервером, червь проникает на сайт и получает управление над ресурсом, после чего процесс работы червя повторяется.

Получив управление, Net-Worm.Perl.Santy.a последовательно проверяет все каталоги на зараженном сайте, и замещает найденные файлы с расширениями .htm, .php, .asp, .shtm, .jsp, .phtm, следующим текстом: This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation.

Однако, помимо замещения содержимого атакованного сайта, червь не содержит иной деструктивной функциональности, и не заражает персональные компьютеры при посещении пораженных ими ресурсов интернета. Во избежание опасности атаки Net-Worm.Perl.Santy.a антивирусные эксперты «Лаборатории Касперского» рекомендуют всем пользователям системы phpBB произвести обновление продукта до версии 2.0.11.

Процедуры защиты от Net-Worm.Perl.Santy.a уже добавлены в базу данных «Антивируса КасперскогоR».

[эксадмин]

Panda Software предупреждает: новый сетевой червь PHP/Santy.A.worm атакует уязвимые phpBB серверы, стирая все их содержимое!

- Конференции, форумы, группы новостей и прочие подобные сообщества подвергаются угрозе заражения новым сетевым вирусом, который использует Google для того, чтобы находить серверы phpBB с известной уязвимостью, проникать в них и стирать все содержимое.
- Червь не заражает участников сообществ/форумов, если они не обладают сервером с подобными характеристиками на своем компьютере.
- Он заменяет все asp, htm, isp, php, phtm и shtm страницы HTML кодом, отображающим сообщение “This site is defaced!!! NeveEverNoSanity WebWorm generation X.”
- Вероятнее всего, в следующие несколько часов он будет продолжать распространяться и услуги Интернет будут замедлены.

Екатеринбург, 22 декабря, 2004

Совсем недавно PHP/Santy.A.worm, новый сетевой червь, написанный на Perl, появился в Интернете и стал быстро распространяться. Этот вредоносный код использует Google для выполнения массовых поисков серверов, на которых запущено популярное приложение phpBB, используемое для форумов, групп новостей, дневников и т.п. версий, более ранних, чем 2.0.11, без заплатки, защищающей от уязвимости viewtopic.php, которая была обнаружена 15 ноября. Заплатку, закрывающую данную уязвимость можно скачать здесь: http://www.phpbb.com/phpBB/viewtopic.php?t=240513.

После того как червь обнаруживает подходящий сервер, он использует уязвимость для проверки правильности входных данных при удаленном выполнении функции URLDecode для того, чтобы получить удаленный доступ к веб-серверу. После получения доступа он сканирует различные директории, переписывая файлы с расширениями .asp, .htm, .jsp, php, .phtm и .shtm и устанавливая на месте каждого страницу, выводящую следующее сообщение:

“This site is defaced!!! NeveEverNoSanity WebWorm generation X.”

В сообщении, ‘X’ варьируется в зависимости от количества заражений, который способен выполнить вирус.

Этот Интернет-червь влияет только на серверы и распространяется только между ними. Поэтому пользователи форумов не подвергаются опасности. Пользователи также не будут заражены в случае посещения ими страниц, которые были инфицированы червем. Учитывая, что данная уязвимость оперирует на уровне приложений, могут быть затронуты веб-серверы с операционными системами Windows и Linux.

В случае продолжения распространения червя в крупных масштабах присутствует возможность замедления сервисов Интернет и даже их падения.

Учитывая высокую вероятность столкновения с PHP/Santy.A.worm или его новыми верисиями, Panda Software рекомендует принять срочные предупредительные меры и обновить антивирусное программное обеспечение. Клиенты Panda Software уже получили доступ к обновлениям, необходимым для обнаружения и удаления этого вредоносного кода из их систем.

[эксадмин]

Всем администраторам сделать обновление, критическая ошибка!

Два обновления, устраняющих уязвимости в интерпретаторе языка серверных сценариев PHP, выпущены на этой неделе разработчиками продукта — PHP Group (php.org).

Это версии 4.3.10 и 5.0.3 — сервисные выпуски, заменяющие 4.3.9 и 5.0.2. Используя критичные ошибки, злоумышленники могли захватывать контроль над веб-сервером, утверждают открыватели уязвимостей из группы Hardened-PHP (hardened-php.org). Всего было найдено 7 ошибок, позволяющих подвесить сервер или выполнить на нем произвольный код: две ошибки переполнения целочисленной переменной в командах упаковки веб-страниц (pack и unpack), три уязвимости, связанные с неправильной обработкой путей в функциях «безопасного режима» (safe_mode_exec_dir, safe_mode и realpath), и две уязвимости в модуле работы с памятью (unserialize). Уязвимости ставят под угрозу безопасность пользователей множества популярных форумов, работающих на движках, написанных на PHP: PHPBB, Invision Board, vBulletin и других.

PHP — развитие популярного языка серверных сценариев Perl. Он приобрел большую популярность из-за своей гибкости: разработчики веб-страниц на PHP, в отличие от Perl, могут вставлять код прямо в HTML. Сервер обрабатывает эти команды во время запроса страницы посетителем.

[Sergey]

ужас какой... цельная эпидемия....

[эксадмин]

угу, так как в коде PHP баг.

[Хоттабыч]

А классный был анегдот про священника.
Прорвемся! С Новым годом!!!