Forum Webscript.Ru

Общие => Nавигатор => Тема начата: Green Kakadu от 23 Декабря 2004, 21:33:36

Название: [security] phpBB опять поимели, червяк - perl-скрипт
Отправлено: Green Kakadu от 23 Декабря 2004, 21:33:36

Многострадальный скрипт форума phpBB ( версий ниже 2.0.11) опять подвергся издевательствам, на этот раз со стороны червяка Net-Worm.Perl.Santy.a Слово "Perl" я выделил не случайно - червяк представляет из себя небольшой перловый скриптик, с кодом можно ознакомиться здесь:
http://www.securitylab.ru/50792.html

Червь формирует специальный запрос для поисковика Google, в результате которого находит сайты, работающие под управлением уязвимой версии phpBB. Затем червь отсылает на найденные сайты строку, содержащую эксплойт уязвимости. В результате обработки атакуемым сервером данного эксплойта червь проникает на сайт и получает управление, после чего процесс размножения червя повторяется.

Для защиты непропатченных сайтов виртуального хостинга рекомендуется использовать, Например, такое правило:

   RewriteEngine On
         RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
         RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
         RewriteRule ^.*$

подробнее: http://www.securitylab.ru/50788.html
[OFF]perl rulezZ forever![/OFF]

Название: [security] phpBB опять поимели, червяк - perl-скрипт
Отправлено: Green Kakadu от 25 Декабря 2004, 01:35:22

О том, что некоторые восприняли действия червя неадекватно:

----
«Хакеры прошлись по русской моде» — такие пугающие заголовки появились в прессе 22 декабря, когда о хакерской атаке заявили владельцы сайта Российской Недели Mоды (RFW). Хулиганская акция носила явно спланированный характер, считает Ирина Моргунова, директор RFW: «Взлом сайта — занятие довольно трудоемкое, интернет-ресурсов, „достойных“ внимания хакеров, предостаточно, но именно сайт RFW почему-то стал мишенью. Интересно, кому понадобилось выбивать RFW из интернет-поля?».

Действительно, кому это могло понадобиться? Скорее всего, это был просто червь.

Российским «модницам» вторят белорусские братья по разуму с сайта «Третий путь»: «Деятельность „Третьего Пути“ стала достаточно заметной, чтобы привлекать к себе внимание», — делают они многозначительный вывод в распространенном пресс-релизе.

подробнее: http://www.securitylab.ru/50877.html
куча "подпорченных" сайтов: http://www.google.com/search?hl=ru&q=%22This+site+is+defaced%21%21%21%22&lr=lang_ru