ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild!
@ 2004-12-22  7:59 Michael Shigorin
  2004-12-22  8:15 ` Denis Kirienko
  0 siblings, 1 reply; 16+ messages in thread
From: Michael Shigorin @ 2004-12-22  7:59 UTC (permalink / raw)
  To: community

[-- Attachment #1: Type: text/plain, Size: 1224 bytes --]

FYI

----- Forwarded message from Niki Denev <nike_d cytexbg com> -----

Date: Tue, 21 Dec 2004 01:42:22 +0200
From: Niki Denev <nike_d cytexbg com>
To: bugtraq@
Subject: WebWorm using PHPBB vulnerability in the wild!

There have been reports of WebWorm exploting PHPBB's urldecode 
vulnerability.
The worm uses this to create a perl script on the server and start it.
After the perl script starts it wipes itself out, then begans to search
via google.com/advanced_search for exploitable viewtopic.php files part from 
the vulnerable PHPBB distributions.
Then the worm replicates itself by using the vulnerability, and also 
overwrites any files on the disk that it has permission to.
Machines running the worm script will have perl process with name 'm1ho2of' 
running.
But this likely will change when the people start to notice it.
The possible solution is to patch or disable the vulnerable PHPBB 
installations.


--niki

----- End forwarded message -----

PS: grep 'GET /viewtopic.php.*system.*chr' /var/log/httpd/access_log 
(ну или где лежит), судя по тому, чем пытаются бомбить нас.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22  7:59 [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild! Michael Shigorin
@ 2004-12-22  8:15 ` Denis Kirienko
  2004-12-22  8:53   ` [Comm] " Michael Shigorin
  2004-12-22 12:52   ` Re[2]: [Comm] " Dmitry Vodennikov
  0 siblings, 2 replies; 16+ messages in thread
From: Denis Kirienko @ 2004-12-22  8:15 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 09:59:04 +0200 от Michael Shigorin следующее
письмо:

> Subject: WebWorm using PHPBB vulnerability in the wild!
<SKIPPED>

1. Сервер на ALM 2.4 со всеми обновлениями и последней версией 2.0.11
phpbb уязвим?
2. Защищаться то как? Я пока не придумал ничего лучше
service httpd stop (я могу такое себе позволить) до выяснения
подробностей.

--
Денис



^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22  8:15 ` Denis Kirienko
@ 2004-12-22  8:53   ` Michael Shigorin
  2004-12-22  9:11     ` Mikhael Korneev
  2004-12-22 13:04     ` Denis Kirienko
  2004-12-22 12:52   ` Re[2]: [Comm] " Dmitry Vodennikov
  1 sibling, 2 replies; 16+ messages in thread
From: Michael Shigorin @ 2004-12-22  8:53 UTC (permalink / raw)
  To: community

On Wed, Dec 22, 2004 at 11:15:33AM +0300, Denis Kirienko wrote:
> > Subject: WebWorm using PHPBB vulnerability in the wild!
> 1. Сервер на ALM 2.4 со всеми обновлениями и последней версией
> 2.0.11 phpbb уязвим?

Если правильно понимаю, проблема была совместная старой phpbb2 и
старой (<=4.3.9) php.  В bugtraq приводили и пример
быстро-грязного фильтра запросов приведённого вида на
mod_rewrite, гляньте в архивах по этой теме.

> 2. Защищаться то как? Я пока не придумал ничего лучше service
> httpd stop (я могу такое себе позволить) до выяснения
> подробностей.

Но опять же насколько понимаю -- Вы уже secured.

PS: тестируйте 4.3.10 из ALTLinux/backports/2.4, оно кандидат в
updates.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22  8:53   ` [Comm] " Michael Shigorin
@ 2004-12-22  9:11     ` Mikhael Korneev
  2004-12-22 13:04     ` Denis Kirienko
  1 sibling, 0 replies; 16+ messages in thread
From: Mikhael Korneev @ 2004-12-22  9:11 UTC (permalink / raw)
  To: community

Michael Shigorin wrote:

>On Wed, Dec 22, 2004 at 11:15:33AM +0300, Denis Kirienko wrote:
>  
>
>>>Subject: WebWorm using PHPBB vulnerability in the wild!
>>>      
>>>
>>1. Сервер на ALM 2.4 со всеми обновлениями и последней версией
>>2.0.11 phpbb уязвим?
>>    
>>
>
>Если правильно понимаю, проблема была совместная старой phpbb2 и
>старой (<=4.3.9) php.  В bugtraq приводили и пример
>быстро-грязного фильтра запросов приведённого вида на
>mod_rewrite, гляньте в архивах по этой теме.
>
>  
>
>>2. Защищаться то как? Я пока не придумал ничего лучше service
>>httpd stop (я могу такое себе позволить) до выяснения
>>подробностей.
>>    
>>
>
>Но опять же насколько понимаю -- Вы уже secured.
>
>PS: тестируйте 4.3.10 из ALTLinux/backports/2.4, оно кандидат в
>updates.
>
>  
>
На develop-машинке обновил (php, mod_php, domxml, gd). Пока все клево (tm).

-- 
Best regards, Mikhael Korneev aka Voldar



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re[2]: [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22  8:15 ` Denis Kirienko
  2004-12-22  8:53   ` [Comm] " Michael Shigorin
@ 2004-12-22 12:52   ` Dmitry Vodennikov
  2004-12-22 13:38     ` Konstantin A. Lepikhov
  1 sibling, 1 reply; 16+ messages in thread
From: Dmitry Vodennikov @ 2004-12-22 12:52 UTC (permalink / raw)
  To: Denis Kirienko

Добрый день.

Wednesday, December 22, 2004, 1:15:33 PM, Вы писали:

DK> Получил Wed, 22 Dec 2004 09:59:04 +0200 от Michael Shigorin следующее
DK> письмо:

>> Subject: WebWorm using PHPBB vulnerability in the wild!
DK> <SKIPPED>

DK> 1. Сервер на ALM 2.4 со всеми обновлениями и последней версией 2.0.11
DK> phpbb уязвим?
DK> 2. Защищаться то как? Я пока не придумал ничего лучше
DK> service httpd stop (я могу такое себе позволить) до выяснения
DK> подробностей.
см сообщение и фикс на http://www.phpbbstyles.com/viewtopic.php?t=1903

у меня сегодня сайт на alm22 со всеми апдейтами + phpBB2 2.0.6 попал под раздачу.


-- 
Воденников Д.Ю.          http://www.dlv.rt.ru
 MCP+Internet



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22  8:53   ` [Comm] " Michael Shigorin
  2004-12-22  9:11     ` Mikhael Korneev
@ 2004-12-22 13:04     ` Denis Kirienko
  2004-12-22 13:36       ` Konstantin A. Lepikhov
  1 sibling, 1 reply; 16+ messages in thread
From: Denis Kirienko @ 2004-12-22 13:04 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 10:53:10 +0200 от Michael Shigorin следующее
письмо:

> > 2. Защищаться то как? Я пока не придумал ничего лучше service
> > httpd stop (я могу такое себе позволить) до выяснения
> > подробностей.
> Но опять же насколько понимаю -- Вы уже secured.
Ok.
# service httpd start

> PS: тестируйте 4.3.10 из ALTLinux/backports/2.4, оно кандидат в
> updates.

Поставил. Теперь мне в заголовке http при открытии
http://179.mioo.ru/forum возвращается:
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1251">

(а раньше было KOI8-r)

Я правда не берусь утверждать, что это бага пакета, а не настроек
моего сервера.

--
Денис



^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 13:04     ` Denis Kirienko
@ 2004-12-22 13:36       ` Konstantin A. Lepikhov
  2004-12-22 13:54         ` Denis Kirienko
  0 siblings, 1 reply; 16+ messages in thread
From: Konstantin A. Lepikhov @ 2004-12-22 13:36 UTC (permalink / raw)
  To: community


<цитата от="Denis Kirienko">
<skip>
> Поставил. Теперь мне в заголовке http при
> открытии
> http://179.mioo.ru/forum возвращается:
> <meta http-equiv="Content-Type" content="text/html;
> charset=windows-1251">
>
> (а раньше было KOI8-r)
>
> Я правда не берусь утверждать, что это
> бага пакета, а не настроек
> моего сервера.
это не бага а фича. В новой сборке
отключен default_charset, который создавал
больше проблем, чем пользы.

-- 
WBR et al.



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: Re[2]: [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 12:52   ` Re[2]: [Comm] " Dmitry Vodennikov
@ 2004-12-22 13:38     ` Konstantin A. Lepikhov
  2004-12-23  5:13       ` Re[4]: " Dmitry Vodennikov
  0 siblings, 1 reply; 16+ messages in thread
From: Konstantin A. Lepikhov @ 2004-12-22 13:38 UTC (permalink / raw)
  To: community


<цитата от="Dmitry Vodennikov">
<skip>
>
> у меня сегодня сайт на alm22 со всеми
> апдейтами + phpBB2 2.0.6 попал под раздачу.
>
хех, а в incoming/backports/2.2 тоже лежит новый php.
Только почему-то его никто не
выкладывает :(

-- 
WBR et al.



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 13:36       ` Konstantin A. Lepikhov
@ 2004-12-22 13:54         ` Denis Kirienko
  2004-12-22 14:08           ` Michael Shigorin
  2004-12-22 14:35           ` Konstantin A. Lepikhov
  0 siblings, 2 replies; 16+ messages in thread
From: Denis Kirienko @ 2004-12-22 13:54 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 16:36:34 +0300 (MSK) от Konstantin A.
Lepikhov следующее письмо:

> > Поставил. Теперь мне в заголовке http при
> > открытии
> > http://179.mioo.ru/forum возвращается:
> > <meta http-equiv="Content-Type" content="text/html;
> > charset=windows-1251">
> >
> > (а раньше было KOI8-r)
> >
> > Я правда не берусь утверждать, что это
> > бага пакета, а не настроек
> > моего сервера.
> это не бага а фича. В новой сборке
> отключен default_charset, который создавал
> больше проблем, чем пользы.

А можно сказать, что и где исправить надо?
А то я тонкой настройкой apache+php не занимался.

IMHO, если уж пакет выкладывать в updates, то лучше эту фичу убрать.
Чтобы обновления проходили максимально безболезненно. Если я ставлю
пакет из updates, то рассчитываю только на затыкание дыр, а не на
предстоящую возню с новыми фичами.

--
Денис



^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 13:54         ` Denis Kirienko
@ 2004-12-22 14:08           ` Michael Shigorin
  2004-12-22 14:35           ` Konstantin A. Lepikhov
  1 sibling, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2004-12-22 14:08 UTC (permalink / raw)
  To: community

On Wed, Dec 22, 2004 at 04:54:32PM +0300, Denis Kirienko wrote:
> > это не бага а фича. В новой сборке отключен default_charset,
> > который создавал больше проблем, чем пользы.
> IMHO, если уж пакет выкладывать в updates, то лучше эту фичу
> убрать.

Ну уж нет, поскольку это багфикс, а не фича.
https://bugzilla.altlinux.org/show_bug.cgi?id=4906

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 13:54         ` Denis Kirienko
  2004-12-22 14:08           ` Michael Shigorin
@ 2004-12-22 14:35           ` Konstantin A. Lepikhov
  2004-12-22 14:48             ` Denis Kirienko
  1 sibling, 1 reply; 16+ messages in thread
From: Konstantin A. Lepikhov @ 2004-12-22 14:35 UTC (permalink / raw)
  To: community


<цитата от="Denis Kirienko">
<skip>
>> это не бага а фича. В новой сборке
>> отключен default_charset, который создавал
>> больше проблем, чем пользы.
>
> А можно сказать, что и где исправить
> надо?
> А то я тонкой настройкой apache+php не
> занимался.
це ж phpbb. Он всю жизнь в cp1251 был. Так что
это что-то у вас _локально_ сломано.

>
> IMHO, если уж пакет выкладывать в updates, то
> лучше эту фичу убрать.
> Чтобы обновления проходили максимально
> безболезненно. Если я ставлю
> пакет из updates, то рассчитываю только на
> затыкание дыр, а не на
> предстоящую возню с новыми фичами.
как раз для многих отключение default_charset
эту возню отменяло.

-- 
WBR et al.



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 14:35           ` Konstantin A. Lepikhov
@ 2004-12-22 14:48             ` Denis Kirienko
  0 siblings, 0 replies; 16+ messages in thread
From: Denis Kirienko @ 2004-12-22 14:48 UTC (permalink / raw)
  To: community

Получил Wed, 22 Dec 2004 17:35:38 +0300 (MSK) от Konstantin A.
Lepikhov следующее письмо:

> >> это не бага а фича. В новой сборке
> >> отключен default_charset, который создавал
> >> больше проблем, чем пользы.
> > А можно сказать, что и где исправить
> > надо?
> > А то я тонкой настройкой apache+php не
> > занимался.
> це ж phpbb. Он всю жизнь в cp1251 был. Так что
> это что-то у вас _локально_ сломано.

Точно! У меня же весь phpbb руками в KOI-8 сконвертирован!
А я уж и запамятовал...

--
Денис



^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re[4]: [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-22 13:38     ` Konstantin A. Lepikhov
@ 2004-12-23  5:13       ` Dmitry Vodennikov
  2004-12-23  9:23         ` [Comm] " Michael Shigorin
  0 siblings, 1 reply; 16+ messages in thread
From: Dmitry Vodennikov @ 2004-12-23  5:13 UTC (permalink / raw)
  To: Konstantin A. Lepikhov

Добрый день.

Wednesday, December 22, 2004, 6:38:01 PM, Вы писали:


KAL> <цитата от="Dmitry Vodennikov">
KAL> <skip>
>>
>> у меня сегодня сайт на alm22 со всеми
>> апдейтами + phpBB2 2.0.6 попал под раздачу.
>>
KAL> хех, а в incoming/backports/2.2 тоже лежит новый php.
KAL> Только почему-то его никто не
KAL> выкладывает :(
А жаль... Единственное известное и доступное мне место взятия
бэкпортов для 2.2 это ftp.altlinux.ru/pub/people

-- 
Воденников Д.Ю.          http://www.dlv.rt.ru
 MCP+Internet



^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-23  5:13       ` Re[4]: " Dmitry Vodennikov
@ 2004-12-23  9:23         ` Michael Shigorin
  2004-12-23 10:58           ` Dmitry Vodennikov
  0 siblings, 1 reply; 16+ messages in thread
From: Michael Shigorin @ 2004-12-23  9:23 UTC (permalink / raw)
  To: community

On Thu, Dec 23, 2004 at 10:13:18AM +0500, Dmitry Vodennikov wrote:
> А жаль... Единственное известное и доступное мне место взятия
> бэкпортов для 2.2 это ftp.altlinux.ru/pub/people

Посмотрите секцию "Backports" на search.altlinux.ru, а также
http://lists.osdn.org.ua/wws/arc/backports (подписываться не
стоит, лучше сразу на http://altlinux.ru/mailman/listinfo/backports)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 16+ messages in thread

* Re: [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-23  9:23         ` [Comm] " Michael Shigorin
@ 2004-12-23 10:58           ` Dmitry Vodennikov
  2004-12-23 14:48             ` Michael Shigorin
  0 siblings, 1 reply; 16+ messages in thread
From: Dmitry Vodennikov @ 2004-12-23 10:58 UTC (permalink / raw)
  To: Michael Shigorin

Добрый день.

Thursday, December 23, 2004, 2:23:29 PM, Вы писали:

MS> On Thu, Dec 23, 2004 at 10:13:18AM +0500, Dmitry Vodennikov wrote:
>> А жаль... Единственное известное и доступное мне место взятия
>> бэкпортов для 2.2 это ftp.altlinux.ru/pub/people

MS> Посмотрите секцию "Backports" на search.altlinux.ru, а также
MS> http://lists.osdn.org.ua/wws/arc/backports (подписываться не
MS> стоит, лучше сразу на http://altlinux.ru/mailman/listinfo/backports)
Да да, на backports подписался. Но вообще все это звучит довольно
странно.

Я себе так вижу проблему: обнаружен баг в функции unserialize
в php <= 4.3.9, и есть эксплойт, который использует этот баг в php
посредством установленного phpBB (а завтра напишут подобный эксплойт
для squirrelmail например).

Значит, в рассылке security@altlinux.ru я хотел бы увидеть письмо от
"ALT Security Team", прочитав которое я быстро захожу на свой хост,
где у меня стоит ALM2.2, обновляю php из updates посредством apt-get,
и спокойно живу дальше.

Нет, я конечно понимаю, что никто никому не должен, и могу ошибаться в
оценке ситуации, но мне бы хотелось, чтобы она разрешилась именно так.

-- 
Воденников Д.Ю.          http://www.dlv.rt.ru
 MCP+Internet



^ permalink raw reply	[flat|nested] 16+ messages in thread

* [Comm] Re: Fwd: WebWorm using PHPBB vulnerability in the wild!
  2004-12-23 10:58           ` Dmitry Vodennikov
@ 2004-12-23 14:48             ` Michael Shigorin
  0 siblings, 0 replies; 16+ messages in thread
From: Michael Shigorin @ 2004-12-23 14:48 UTC (permalink / raw)
  To: community

On Thu, Dec 23, 2004 at 03:58:00PM +0500, Dmitry Vodennikov wrote:
> Значит, в рассылке security@altlinux.ru я хотел бы увидеть
> письмо от "ALT Security Team", прочитав которое я быстро захожу
> на свой хост, где у меня стоит ALM2.2, обновляю php из updates
> посредством apt-get, и спокойно живу дальше.

Все бы хотели.  Но что-то у security@ опять критические дни.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/


^ permalink raw reply	[flat|nested] 16+ messages in thread

end of thread, other threads:[~2004-12-23 14:48 UTC | newest]

Thread overview: 16+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2004-12-22  7:59 [Comm] Fwd: WebWorm using PHPBB vulnerability in the wild! Michael Shigorin
2004-12-22  8:15 ` Denis Kirienko
2004-12-22  8:53   ` [Comm] " Michael Shigorin
2004-12-22  9:11     ` Mikhael Korneev
2004-12-22 13:04     ` Denis Kirienko
2004-12-22 13:36       ` Konstantin A. Lepikhov
2004-12-22 13:54         ` Denis Kirienko
2004-12-22 14:08           ` Michael Shigorin
2004-12-22 14:35           ` Konstantin A. Lepikhov
2004-12-22 14:48             ` Denis Kirienko
2004-12-22 12:52   ` Re[2]: [Comm] " Dmitry Vodennikov
2004-12-22 13:38     ` Konstantin A. Lepikhov
2004-12-23  5:13       ` Re[4]: " Dmitry Vodennikov
2004-12-23  9:23         ` [Comm] " Michael Shigorin
2004-12-23 10:58           ` Dmitry Vodennikov
2004-12-23 14:48             ` Michael Shigorin

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git