[交流] PhpBB2 漏洞，我中獎了.... >_<

小酒蟲

看來差一、二個版號沒更新都不成。
更新時一併也把很少用的 Perl 給移除掉，不過 firewall monitor 顯示目前系統仍持續遭受攻擊中。B)B)B)

http://beb.anyday.com.tw/forum/viewtopic.php?t=18186
Santy.a 蠕蟲 用Google找目標 篡改網絡公告網站

太平洋標準時間本週二，安全專業人士表示，一種互聯網蠕蟲病毒正在使用了存在缺陷的phpBB 軟件的網絡公告板網站間傳播。該蠕蟲病毒利用Google搜索引擎發現可供感染的網站。

反病毒廠商Kaspersky 公司在一份聲明中稱，該蠕蟲病毒利用了上周公佈的PHP 軟件中的一處缺陷。但它的攻擊對像不是運行PHP 軟件的網站，而是運行一種具體的PHP 軟件══phpBB 的網站，另外，它還利用Google搜索引擎發現存在缺陷的網站。

目前約有40000 個網站受到了感染。利用微軟公司的搜索引擎搜索「NeverEverNoSanity 」，返回了近39000 個搜索結果。Kaspersky 在本週二發表的一份聲明中說，Santy.a 正在迅速傳播，已經成為一場瘟疫。但是，它對普通用戶沒有直接影響，儘管它會感染網絡公告板網站，但不會感染訪問這些網站的計算機。

Santy.a 向Google發送特定的搜索請求，從而獲得一個可供感染網站的清單。然後，它利用一個經過特別設計的PHP 請求向這些網站傳播。

Santy.a 是利用Google作為攻擊工具的一種最新惡意代碼，它可能還是第一種利用Google尋找攻擊目標的惡意代碼。通過使用Google對 「Powered by phpBB」進行搜索發現，約有600 萬個網站在運行phpBB 軟件。互聯網風暴中心的技術總監約翰尼斯說，全球有大量的運行 PHP 軟件的網絡公告板。

在感染一個網站後，Santy.a 就會通過Google搜索其它運行phpBB 的網站，然後試圖感染發現的網站。

據Kaspersky 稱，感染網站後，Santy.a 會刪除服務器上所有的HTML、PHP 、ASP 、JSP 、SHTM文件，並使用「This site is defaced！！！ This site is defaced！！！ NeverEverNoSanity WebWorm generation X 」覆蓋這些文件。其中的「X 」是一個數字，表示當前的Santy.a 實例與最初的Santy.a 相比屬於第幾代。利用MSN 的搜索引擎已經發現第24代的Santy.a。

Google 沒有對Santy.a 發表評論，但該公司的一位發言人說，他們已經看到了相關資料，正在對這一問題進行調查。Google的態度令一些反病毒專家感到不滿，他們認為，通過封殺Santy.a 對其搜索引擎的搜索，這一問題就能夠得到解決。反病毒廠商F-Secure公司的調研主管米科表示，我們已經掌握了應當封殺的搜索關鍵詞，封殺對該關鍵詞的搜索不會有什麼大的影響。

「phpBB 項目」組織在其網站上建議稱，使用存在缺陷的PHP 軟件的網站應當升級使用的軟件。

阿輝

【轉貼】 [安全提示]請所有尚未更新到 phpBB 2011 必看
http://phpbb-tw.net/phpbb/viewtopic.php?t=30698

敬告各位親愛的會員們：

由於這段時間以來發現訪客搜尋功能，有心人士刻意利用來作為癱瘓 MYSQL 的途徑，竹貓也遭受相當程度的攻擊，所幸硬體追加後挺的住，但是我們也立即關閉了訪客搜尋的功能，造成很多人的不便，深感抱歉與遺憾。

請所有尚未升級到最新安全性修正版本 2.0.11 的使用者們，立即更新或是先關閉訪客搜尋功能：
http://phpbb-tw.net/phpbb/viewtopic.php?t=29958

如果各系統管理員發現您的系統管理控制台中，有同一IP之訪客大量搜尋文章或是嘗試登入，甚至是同時連線者，請立即封鎖該IP，維護您討論區的安全！

非常感謝大陸的黑客團隊，有你們的研究與開發，將能使的 phpBB 程式的安全性更高也更為完整。

竹貓星球站長小竹子 敬上

K.K.

被騙進來了

我還以為酒蟲中了樂透頭彩勒

小酒蟲

中頭彩的話，立刻把遠東頂樓包一整個月開轟趴。

xdavid

我也以為跨年晚宴有著落了說.... :-(

liaolc

我比較單純，以為酒蟲要請吃喜酒了

小酒蟲

Originally posted by xdavid at 2004-12-24 05:28:
我也以為跨年晚宴有著落了說.... :-(

等看看那天標題變成：「我中獎了.... \(^o^)/」




你們這些人給我慢慢等吧

liaolc

不會啊，我說的狀況也適合你的標題的表情。

紫氣東來

唉!我太好奇啦!

kwei

我也被騙進來了
想說可以分享一下重頭彩的喜悅
沒想到是...

biko

Originally posted by 阿輝 at 2004-12-24 06:52 PM:
【轉貼】 [安全提示]請所有尚未更新到 phpBB 2011 必看
http://phpbb-tw.net/phpbb/viewtopic.php?t=30698
.........

竹貓現在進不去了..
這個病毒還真可怕..

小酒蟲

http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=248046

Recently a serious exploitable issue was discovered in PHP (the scripting language in which phpBB, IPB, vB, etc. are written) versions prior to 4.3.10. The problematical functions include unserialize and realpath. phpBB (along with a great many other scripts including IPB, vB, etc.) use these two functions as a matter of course.

It has come to our attention that code has now been released which uses this exploit in PHP to obtain confidential information in phpBB. Such information includes data contained in phpBB's config.php file. We therefore recommend the following:

1) If you maintain your own server be sure to upgrade to the newest available release of PHP (both versions 4 and 5). Be aware that at this time phpBB 2.0.x has problems functioning under PHP5 without modification.

2) If you pay for hosting ensure you hosting provider has upgraded thier installation of PHP (again remember that phpBB 2.0.x and other scripts will not function under PHP5 without modification).

Please do not submit this PHP issue to our security tracker, it is beyond our control. Fixed versions of PHP do exist and as above we encourage you to ensure your system is running such a version. Equally please examine any "hacking" issues you have carefully to ensure they are not caused by this PHP problem (rather than phpBB). Remember, this is not a phpBB exploit or problem, it's a PHP issue and thus can affect any PHP script which uses the noted functions.

白話一點就請確定你的主機上使用的 PHP 版本是 4.3.10，並且使用 phpBB v2.0.11。

[ Last edited by 小酒蟲 on 2004-12-24 at 17:14 ]

nicchiu

我的另一站也中了.
封鎖該IP也沒用..
今天也把站關了.

小酒蟲

中了之後先斷開網路掃毒，應該會掃到那個作怪的檔案；清掉後把 Apache/php/phpBB 都升到最新版就暫時 OK 了。

目前 firewall monitor 整天都在顯示遭受 Google bot 及 MSN bot 大量 scan，所以我同時違反版權協議把那行「Powered by phpBB」拿掉，另外阻殺了 *.googlebot.com 及 msnbot.msn.com 的重覆 scan。你看一下 log 檔應該就可看到不只一個 IP 在對你的站台做 scan，把那些 IP 全都阻殺比較好。

[ Last edited by 小酒蟲 on 2004-12-25 at 20:09 ]

阿輝

以下為轉貼參考資料，不過為了安全考量
有基本的閱讀限制

遊客，本文章隱藏的內容需要積分高於 50 才可瀏覽，您目前積分為 0

azazabc123

php也有嗎？
本來要架一個的說...

[ Last edited by azazabc123 on 2005-3-8 at 20:48 ]

阿輝

http://free.tnc.edu.tw/modules/news/article.php?storyid=1751
此篇內有提到補這個問題的方式

==============================

phpBB2 在 2.0.12(及之前的版本)，存在二個嚴重的漏洞，第一個可讓任何人取得管理者權限；第二個會洩露路徑。

注意 ! Debian 目前的版本 2.0.12-x 亦有此一漏洞。

請儘速升級或修補。