[Info] Wurm attackiert PHP-Skripte

[Info] Wurm attackiert PHP-Skripte

am 26.12.2004 10:14:19 von Christian Hamacher

Guten Morgen, :-)

http://www.heise.de/security/news/meldung/54623

Gruß
Christian

Re: [Info] Wurm attackiert PHP-Skripte

am 26.12.2004 10:22:28 von Knut Ahlers

> http://www.heise.de/security/news/meldung/54623

Wie erkennt man denn ob man auch schon Befallen ist und wenn ja wie kriegt
man das Würmchen wieder wech?

MFG
Knut

Re: [Info] Wurm attackiert PHP-Skripte

am 26.12.2004 11:14:52 von Stephan Mann

On 2004-12-26 10:22:28, Knut Ahlers wrote:
>> http://www.heise.de/security/news/meldung/54623
>
> Wie erkennt man denn ob man auch schon Befallen ist

Zum Beispiel, indem du die themenverwandte Artikel liest:




Dann koenntest du in dem von dir genannten Artikel mal auf den
Full-Disclosure-Link klicken. Da gibt es naemlich eine Kopie des Wurmes.

Und natuerlich auf der Seite der Software, die betroffen ist. Allerdings
scheinen die Herren nicht die schnellsten zu sein. Aber es ist ja auch
Weihnachten. Du solltest ueber eine Verwendung dieser Software nachdenken,
solange dieser Bug nicht gefixed ist.



> wie kriegt man das Würmchen wieder wech?

Wie immer bei kompromitierten Systemen ist die einzige Moeglichkeit,
wieder ein vertrauenswuerdiges System zu erhalten, es neu aufzusetzen. In
diesem Fall also den kompletten Webspace (oder zumindest alle
ausfuehrbaren Dateien) zu leeren (oder einzeln ueberpruefen) und aus
vertrauenswuerdigen Quellen neu aufzuspielen.

Du solltest dich allerdings vorher mit deinem ISP kurzschliessen. Offenbar
sind alle Webauftritte auf einem Server betroffen, wenn nur einer davon
phpBB installiert hat. Deine Saeuberungsaktion koennte also sinnfrei sein,
solange der Nachbar immer noch ein verseuchtes phpBB laufen hat.

hth, stephan



OT-Frage:
Die meisten ISPs verbieten IRC-Nutzung ihrer Server. Wenn also
ein Wurm einen IRC-Bot installiert, warum merken die das nicht
Minuten(?) spaeter selbst?! Wieder bloss eine leere Vorschrift,
die keiner kontrolliert?

Re: [Info] Wurm attackiert PHP-Skripte

am 26.12.2004 12:24:54 von Knut Ahlers

Hi Stephan

Den Link hatte ich gar nicht realisiert. Dann kann man ja per Bash
zurückschlagen und wieder aufräumen. Naja mal schauen.

> OT-Frage:
> Die meisten ISPs verbieten IRC-Nutzung ihrer Server. Wenn also
> ein Wurm einen IRC-Bot installiert, warum merken die das nicht
> Minuten(?) spaeter selbst?! Wieder bloss eine leere Vorschrift,
> die keiner kontrolliert?

Viele blocken den ausgehenden 6660-6669 damit nicht zu viel Traffic
erzeugt wird. Ich denke mal die Aktion geht auch eher gegen (V)-Server, da
dort meistens die oben genannten Ports offen sind, da entweder eigene
IRC-Server laufen oder Bots eingesetzt werden.

MFG
Knut

Re: [Info] Wurm attackiert PHP-Skripte

am 27.12.2004 13:32:45 von sylvio runge

Christian Hamacher wrote:

> http://www.heise.de/security/news/meldung/54623
>
hmm... "uralt" ;)
Die entspr. Mail auf bugtraq stammt vom 21.12.

S.

Re: [Info] Wurm attackiert PHP-Skripte

am 27.12.2004 13:32:45 von sylvio runge

Christian Hamacher wrote:

> http://www.heise.de/security/news/meldung/54623
>
hmm... "uralt" ;)
Die entspr. Mail auf bugtraq stammt vom 21.12.

S.

Re: [Info] Wurm attackiert PHP-Skripte

am 27.12.2004 13:32:45 von sylvio runge

Christian Hamacher wrote:

> http://www.heise.de/security/news/meldung/54623
>
hmm... "uralt" ;)
Die entspr. Mail auf bugtraq stammt vom 21.12.

S.