Webservers met phpBB kwetsbaar voor Santy-worm...

[gezina]

Webservers met phpBB kwetsbaar voor Santy-worm

Datum: 2004-12-21
Programma: phpBB
Versie: 2.0.10 en eerder
Besturingssysteem: Linux, UNIX, Mac OS X, Windows

Korte omschrijving
phpBB is een 'bulletin board' programma dat uitsluitend op webservers geïnstalleerd kan worden. Een 'bulletin board' is een website waarop mensen berichten kunnen achterlaten dit soort websites worden ook wel forums genoemd.
Door een kwetsbaarheid in phpBB kan de Santy-worm uw website aanpassen.

Wat kan er gebeuren?
Als u een webserver heeft met daarop phpBB, dan kunnen op uw website alle bestanden worden vervangen door de volgende tekst:

This site is defaced!!!
NeverEverNoSanity WebWorm generation X

Waarbij X een getal is dat toeneemt bij iedere infectie.

De Santy-worm werkt geheel automatisch, er is dus geen enkele actie nodig om dit te laten plaatsvinden.

Hoe weet ik of mijn computer kwetsbaar is?
Uw server is kwetsbaar als u phpBB versie 2.0.10 of eerder heeft geïnstalleerd.

Hoe verhelp ik de kwetsbaarheid?
phpBB heeft een nieuwe versie uitgebracht (2.0.11) die de kwetsbaarheid oplost. Deze kunt u hier downloaden: http://sourceforge.net/project/showfiles.php?group_id=7885

Waar vind ik meer informatie?
http://www.phpbb.com/
http://www.f-secure.com/v-descs/santy_a.shtml
http://www3.ca.com/securityadvisor/virus.../virus.aspx?id=41176
http://vil.nai.com/vil/content/v_130471.htm
http://www.trendmicro.com/vinfo/virusenc...p?VName=WORM_SANTY.A
http://www.sarc.com/avcenter/venc/data/perl.santy.html

Bron: waarschuwingsdienst.nl

 

[gezina]

Google stopt verspreiding Santy worm

Door optreden van Google kan de Santy worm, die zich sinds gisteren verspreidde, geen webservers meer infecteren. De worm verspreidde zich via een lek in phpBB 2.x. Andere systemen hadden niets te vrezen. Het waren dan ook voornamelijk fora die dit script gebruikten die gevaar liepen om besmet te worden. Als de worm een kwetsbare host vond werden de .htm, .php, .asp, .shtm, .jsp en .phtm bestanden overschreven. Hosts werden gevonden door queries die Santy via Google uitvoerde. Google is daarom vannacht begonnen met het filteren van deze queries, waardoor de worm zich niet meer kan verspreiden. Hoeveel websites door de worm getroffen zijn is niet bekend. Volgens een zoekresultaat in Google zou het om 202 geinfecteerde websites gaan. Het Security Team van Google liet weten dat de zeven uur die men nodig had om actie te ondernemen niet slecht is, maar toch wil men in de toekomst sneller op dit soort situaties reageren.

De worm liet het onderstaande bericht op getroffen websites zien.

Inmiddels is er ook een nieuwe variant van de Santy worm aangetroffen, genaamd Santy.b. Volgens Kaspersky zou er nog geen oplossing voor het lek zijn, maar wel een work-around. Bron: security.nl Zie ook: webwereld.nl

Vervolg-artikel van security.nl

Analyse van de Santy worm

De eerste variant van de Santy worm is dan door Google, door het uitzetten van de queries die de worm doet, gestopt, volgens het Internet Storm Center is dit slechts een tijdelijke oplossing. Het is goed mogelijk dat er andere queries gemaakt worden, die in combinatie met dezelfde exploit, de worm weer nieuw leven inblazen. Gebruikers van phpBB wordt dan ook dringend aangeraden om te upgraden naar versie 2.0.11, waarin het lek waar de worm gebruik van maakt verholpen is. Naast de waarschuwing heeft het ISC ook een analyse van de worm online gezet.

Vervolg-artikel van security.nl (2)

Santy variant gebruikt Yahoo om slachtoffers te vinden

Zoals al door verschillende security experts voorspeld werd is er een nieuwe variant van de Santy worm verschenen die geen gebruik maakt van Google, maar van een andere zoekmachine om kwetsbare websites te vinden. De nieuwe variant gebruikt de zoekmachine van Yahoo. Het is echter niet bekend of de worm zich nu, net als de eerste Santy worm, massaal aan het verspreiden is. Gebruikers van phpBB wordt dringend aangeraden om versie 2.0.11 te installeren of deze workaround toe te passen. (Heise Online)

 

[gezina]

Elke PHP site loopt gevaar door nieuwe Santy worm...

Elke PHP site loopt gevaar door nieuwe Santy worm

Na het verschijnen van de Santy worm zijn er inmiddels meer varianten en andere malware ontdekt die van lekken in PHP en phpBB misbruik maken. Het zou gaan om Net-Worm.Perl.Santy, Backdoor.Perl.Shellbot, Backdoor.Perl.Termapp en Backdoor.Perl.Nois. Sommige gebruiken de zoekmachines van AOL en Yahoo om kwetsbare websites te vinden. Tot zover bekend zouden de zoekopdrachten via AOL mislukken, maar via Yahoo werken. Anti-virusbedrijf F-Secure heeft dan ook net als bij Google contact opgenomen met Yahoo om de zoekopdrachten van de PHP-malware te filteren.

Update 9:44

Volgens Kaspersky Labs gebruikt Santy.E "PHP Scripts Automated Arbitrary File Inclusion" om php scripts te exploiten. Dit zou alleen door degelijk en veilig progammeren voorkomen kunnen worden, wat zou inhouden dat elke site potentieel gevaar loopt om getroffen te worden. Er zijn al veel berichten van websites die door geinfecteerde hosts worden aangevallen. Kaspersky verwacht dan ook dat meer websites getroffen zullen worden of door de aanvallen erg traag zullen worden.

Meer informatie over PhpInclude en de waarschuwing van K-OTik Security voor deze zeer gevaarlijke worm. Bron: security.nl Ook de waarschuwingsdienst geeft extra info. Zie ook: webwereld.nl

UPDATE security.nl

Brazilianen gebruiken PHP malware voor zombie netwerk

Werd er vanochtend nog gewaarschuwd voor de Santy.E worm, die slecht geprogrammeerde en beveiligde websites aanviel, waardoor alle PHP sites in principe gevaar liepen, de situatie lijkt uiteindelijk toch mee te vallen. De operatie zou het werk zijn van Braziliaanse hackers die met de malware een botnetwerk aan het opzetten zijn. De geinfecteerde hosts zouden via een IRC server bestuurd worden. Een kijkje op de server leert echter dat het om minder dan 100 bots gaat. Volgens F-Secure is het dan ook verrassend dat er niet meer infecties zijn, aangezien de worm sommige PHP sites zelfs met denial of service achtige aanvallen bestookt. Verder laat het anti-virusbedrijf weten dat de Santy varianten die tijdens kerst ontdekt zijn, eigenlijk geen onderdeel van de Santy familie uitmaken. De code is namelijk anders en ze maken misbruik van een ander lek. De enige overeenkomst zijn dat ze allemaal geschreven zijn in Perl, gericht zijn op PHP websites en zoekmachines gebruiken.

UPDATE security.nl

Anti-santy worm dicht lekke PHP websites en forums

In navolging van de verschillende Santy wormen is er nu ook een "anti-santy worm" actief. De worm gebruikt verschillende zoekmachines om kwetsbare websites en forums te vinden en infecteert ze via de "phpBB highlight vulnerability". Dan probeert de worm het systeem te patchen, zodat Santy varianten de website niet meer kunnen infecteren. Als laatste laat de worm een bestand genaamd secure.php achter, dat de onderstaande tekst bevat. Hoewel de worm geen kwaad in de zin lijkt te hebben, kan het extra gegenereerde verkeer wel voor problemen zorgen. Volgens Mikko Hyppönen van F-Secure zijn er twee versies van de defacement pagina, die allebei uit Argentinie lijken te komen. Verdere details zijn nog niet bekend. (F-Secure)