NeverEverNoSanity WebWorm ?

[scuba303]

moin. jemand von euch schon mal bekanntschaft mit dem hier gemacht?

This site is defaced!!!

--------------------------------------------------------------------------------

NeverEverNoSanity WebWorm generation 11.

überschreibt netterweise alle php und html dateien mit dieser meldung.

[[tom]]

Ich schätze, da hat Die ein "Kumpel" was untergejubelt - oder Du bist nicht alleine auf Deinem Server.

Nicht überall, wo Wurm drauf steht, ist auch Wurm drin. ;-)


[TOM]

[Roger Wilco]

scuba303 hatte sicherlich ein altes phpBB laufen, also <2.0.11, hab ich recht? ;)

-> http://search.gmane.org/search.php?quer ... ernosanity

Wie sieht es eigentlich mit diesem Forum hier aus? Stimmt die Versionsnummer im Footer?

[dodolin]

Wie sieht es eigentlich mit diesem Forum hier aus? Stimmt die Versionsnummer im Footer?

Bin kein Admin, aber AFAIK stimmt sie.

PS: Sicherheitsrelevante Patches werden aber immer schnellstmöglich eingespielt. :)

[scuba303]

scuba303 hatte sicherlich ein altes phpBB laufen, also <2.0.11, hab ich recht? ;)

-> http://search.gmane.org/search.php?quer ... ernosanity

Wie sieht es eigentlich mit diesem Forum hier aus? Stimmt die Versionsnummer im Footer?

recht hat er.... das phpbb killer board..

und ist das nur das board? bzw. weiss jemand, ob jemand jetzt kompletten root access hat?

[t0x1c]

recht hat er.... das phpbb killer board..

und ist das nur das board? bzw. weiss jemand, ob jemand jetzt kompletten root access hat?

It means that you have been p0wned. Someone has gained root access
to your box and obviously defaced your website. Since they had root
access, there is no telling what other damage they may have done.

You will need to wipe the machine clean and start with a fresh install.

Aber alleine die Formulierung "It means that you have been p0wned." lässt wohl an der Zuverlässigkeit dieser information zweifeln. ;-)
Trotzdem, Vorsicht ist die Mutter der Porzelankiste! Ich würde kein Risiko eingehen und die Kiste neu aufsetzen (lassen), dann kannste Dir wenigstens sicher sein..

Mfg.
t0x1c

[scuba303]

na ich find auffällig, dass nur dateien in den webroots modifziert wurden. confixx mit seinem phpmyadmin usw. lief die ganze zeit. hab das gefühl, dass man da "nur" innerhalb des webroots schaden machen kann.

[t0x1c]

Naja, wenn Dir das "gefühl" Sicherheit genug ist.. Heisst ja nicht dass Du das unbedingt merken musst, wenn Dein Server "gep0wned" wurde...
Das mindeste was ich machen würde wäre mal chrootkit durchlaufen zu lassen..

Mfg.
t0x1c

[scuba303]

das hat nicht auffälliges gebracht..
oh man.. "nightmare before christmas" :(

[gierig]

Eine Domain von mir hat den

NeverEverNoSanity WebWorm generation 17.

Hat alle php und htm(l) seiten geändert, suche grade meine
Backups für den User raus.

Daten:
Debian Woddy (aktuell) PHP 4.1.2
Der Kerl ist über das dort laufende phpBB reingekommen.
Diese ist allerdings schon das 2.0.11.
Web Logs sind aber eindeutig was art und Zeit angeht.
Ich schiebs auf die 4.1.2 PHP Version und darauf das "fopen" für
den User noch an war (jetzt erstmal aus).

Betroffen ist nur das home vom dem User, woanders ist er nicht hingekommen (suphp, /tmp noexec flag, openbasedir, etc).

Erste Scans ergaben auch keine chrottkits, Kernel ist noch
der der er vorher war.

phpbb.de hat ein paar infos, soll wohl ein Perlscript sein.
Das per Googel nach Boards sucht. Mal sehen ob ich das in die Finger bekomme zum Nachvolziehen was das Ding anstellt.

gruß Gierig

[lutz-development]

Update auf phpVersion 4.3.10 dringend nötig.

[moe``]

hier mal ein bericht von heise dazu

http://www.heise.de/newsticker/meldung/54504

Die Entwickler von N/X weisen darauf hin, dass ihr CMS von den kürzlich gemeldeten Schwachstellen in PHP nicht betroffen ist. Aus dem Text "NeverEverNoSanity" im Defacement lässt sich schließen, dass eine Benutzereingabe wahrscheinlich nicht richtig gefiltert wird und ein Angreifer so möglicherweise Befehle einschleusen und ausführen kann, ähnlich wie bei SQL-Injection.

[Joe User]

http://www.securiteam.com/unixfocus/6J00O15BPS.html

[sascha]

Hier ist übrigens der Wurm

[h0nig]

404 :(

[gierig]

War ein netter Kleiner Perl Code.

Hat in Goggel nach "viewtopic.php" gesucht.
Dann bei allen treffern versucht die Highlight Lücke auszunutzen.
Schaden: alle htm, html, php, asp, jsp dateien werden
überschrieben. Der Perl code wird dann natührlich noch auf dem
Server ausgeführt und startet weitere Attacken.

Hatte gestern im übrigen auf php 4.3.10 geupdatet. Kumpel hat sein
Board wieder eingespielt und sich nach 15 min geheult das der Kerl
schon wieder da war. Das Board war zwar gefixt, hat die Lücke aber
denoch. Mus wohl an den 10000 Mod und Erweiterungen liegen die
er da in laufe der Zeit reingebaut hat.
Nun leuft ein Blankes phpBB 2.0.11 ohne Mods, Angriffe gab es die Nacht
über genug. Und die Laube steht immer noch !


Fazit:
PHP wollte ich eh Updaten (aber nicht so schnell).
phpBB mit 1000 Mod taugt nichts (liest mann ja auch hier öfters)

[scuba303]

hier steht der code auch noch mal.
http://www.securiteam.com/exploits/6W00L0KC0I.html

@admin/mod: weiss nicht, ob man das hier posten darf. wenn nicht, bitte löschen. danke.

[sascha]

Ich wüsste nicht was dagegen spricht. Funktionieren tut er jetzt eh nicht mehr. :)

[Joe User]

Man muss lediglich den Query anpassen, schon funktioniert er wieder :roll:

[gierig]

Ihr meint die gespeerte Suchanfrage von Google ?

ein einfaches cat access.log | grep %2527 | wc -l

wobei "%2527" ein der Teil ist womit die Lücke ausgenutzt wird,
förderte gestern nacht noch 54 Versuche zu tage.
für DI habe ich 324 Versuche in den Logs.
Klar mit ner sauberen 2.0.11 und php 4.3.10 passiert nichts mehr,
aber Versuche sind durchaus noch da.