hosting ARUBA defaced!!!

Igor · 21.12.2004, 19:07

Ebbene si, stamane anche ARUBA ha ceduto (nonostante dall'assistenza
dicano che e' colpa dei miei script)
il mio hosting e' stato bacato colpa del PHP 3.4.x bacato.
NeverEverNoSanity WebWorm generation 17.

www.pipaergosum.it

aggiugetevi in coda.

NUVOLABLU · 22.12.2004, 09:45

Credo che il problema sia imputabile a questo:
Gentile Cliente,

se ha installato sul suo sito il forum PhpBB http://www.phpbb.com) Le chiediamo di aggiornarlo
il prima possibile con l\'ultima versione rilasciata Phpbb 2.0.11 in quanto è stato appena diffuso il worm \"NeverEverNoSanity WebWorm\" il quale sfruttando la vulnerabilità del Forum permette la modifica di tutti i file con estensione .php e .html nel suo account e potrebbe ripercuotersi anche su tutti gli utenti del Server.

Per effettuare l\'aggiornamento deve aprire il file viewtopic.php e cambiare il codice:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = \'\';
if (isset($HTTP_GET_VARS[\'highlight\']))
{
// Split words and phrases
$words = explode(\' \', trim(htmlspecialchars(urldecode($HTTP_GET_VARS[\'highlight\']))));

for($i = 0; $i < sizeof($words); $i++)
{

con il codice:

//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = \'\';
if (isset($HTTP_GET_VARS[\'highlight\']))
{
// Split words and phrases
$words = explode(\' \', trim(htmlspecialchars($HTTP_GET_VARS[\'highlight\'])));

for($i = 0; $i < sizeof($words); $i++)
{

oppure può scaricare il pacchetto completo da http://www.phpbb.com/downloads.php

La preghiamo di non sottovalutare il problema in quanto è di estrema importanza per la sicurezza del server sul quale il suo dominio risiede.

Maggiori informazioni possono essere reperite su:

http://forum.serverplan.com/viewtopic.php?t=1261
http://www.phpbb.com/phpBB/viewtopic.php?t=240636
http://www.phpbb.com/phpBB/viewtopic.php?t=244451

NUVOLABLU · 22.12.2004, 09:47

Ah,
ringrazio gli amici di serverplan per essere sempre sul pezzo.
Saluti.

CorradoCC · 22.12.2004, 11:51

Porcavacca Lucaus.
Monta cose semplici come faccio io. ;-)
PHPBB mi ha sempre dato da fare.

CMQ erano due giorni o tre che PES non si vedeva più.

Igor · 22.12.2004, 12:08

Ora ho capito PHP<3.4.10 & PHPBB < 2.0.10 >>>> WEBWORM Alert

Diciamo che e' colpa mia al 50 %, primo perche' si tratta di un bug
noto dal 18 Novembre. Per contro in molti hosting l'aggiornamento al php 3.4.10 e' stato quasi immediato, diciamo la verita' questi
hacker, che poi tanto bravi non sono, c'hanno aspettato al varco.

Vabbe' rimediero' da solo.

Mi aspetta un lungo lavoro.

Zenigata · 22.12.2004, 12:34

L'aggiornamento di phpbb è disponibile dalla metà di novembre. Quando si installano questi programmi bisogna sempre dare un'occhiata agli annunci di sicurezza.

Igor · 23.12.2004, 02:00

Ok sara' colpa mia , ma che faticaccia...

Ho scoperto che I nostri cari Hacker hanno sistemato
pure i MAMBOTS: questi file a differenza degli altri
erano stati modificati aggiungendo all'inizio un
il messaggio di Hack.

Gli altri file .php erano invece tutti riscritti a 270 byte
standard di dimensione.

Zenigata · 23.12.2004, 12:28

Una domanda Igor. Sul tuo spazio era installato anche phpbb?

Maggiori informazioni qui:
http://punto-informatico.it/p.asp?i=50969

Igor · 24.12.2004, 23:21

Caro Zenigata, devo dirti si! Certo che se oltre a me ha preso altri 40.000
siti sfruttando Google significa di certo che si trattava di una cosetta
studiata a tavolino.

Tieni conto che dopo poco ho risitemato il sito e
a partire dal forum PHPBB, ovviamente non pensavo ancora fosse
un bug del forum, comunque sia dopo appena 10 ore ho visto riscritto
tutto il sito daccapo.

Oramai ho sistemato tutto con le copie che avevo in locale,
ho pure approfittato per fare un po' di pulizia.

Non tutti i mali vengono per nuocere, se ho imparato qualcosa da questa
esperienza e' di tener aggiornati i software.

ciao

Igor.