Nog niet hier gezien, update je phpBB versie asap!
http://www.kaspersky.com/news?id=156681162
http://www.europe.f-secure.com/v-descs/santy_a.shtml
http://isc.sans.org/diary.php?date=2004-12-21
http://www.viruslist.com/en/weblog

Santy worm defaces websites using php bug
A worm taking advantage of a phpBB vulnerability has been defacing websites and explains a number of reports we received today regarding deface web servers. The worm is written in Perl and seems to overwrite all writeable asp/php/htm/shtm files on the server.

Note: we earlier reported that it takes advantage of a php vulnerability. This does not seem to be the case.
phpBB 2.0.10 and earlier. The current version of phpBB (2.0.11, released Nov. 18th) fixes this problem. Nevertheless, its still a good idea to update php.
We do now have a couple of versions of the code. The virus appears to increment a 'generation' number whenever it infects a site. If you have a copy of a generation < 4, please let us know.
A few more details from a preliminary analysis:
[snip...]

Let wel: Als die worm je site defaced moet je eens nodig je permissies op je files gaan checken ;)

opzich een slimme worm, maar beetje zonde om alles kapot te maken :(.

mja.. sowieso een andere vraag:

wat doen jullie in het geval dat klanten hun forums e.d. niet updaten?




en even iets anders over phpbb, waarom word dit *** forum uberhaupt nog gebruikt, dit is al de zoveelste secu bug.

Om precies te zijn zitten we nu bij versie 2.0.11. Alle 11 de revisies zijn uitgekomen vanwege security bugs =)


Origineel geplaatst door The MAzTER
mja.. sowieso een andere vraag:

wat doen jullie in het geval dat klanten hun forums e.d. niet updaten?




en even iets anders over phpbb, waarom word dit *** forum uberhaupt nog gebruikt, dit is al de zoveelste secu bug.

Persoonlijk contact opnemen met de klant met het vriendelijke verzoek om hun forum z.s.m. te voorzien van de laatste updates ;). Voor de grote webhosters misschien via mailinglist te doen.

@Clanhost:Wat heeft dat nou met permissies te maken? Het php script daait als de user van de website, dus ik snap niet wat je duidelijk probeert te maken.

Clanhost bedoelt dat hij PHP als apache module heeft geïnstalleerd, waarbij PHP onder de user nobody draait en dus niet de rechten heeft om bestanden die door de gebruiker via FTP zijn geupload te verwijderen.

Origineel geplaatst door handy
@Clanhost:Wat heeft dat nou met permissies te maken? Het php script daait als de user van de website, dus ik snap niet wat je duidelijk probeert te maken.
Zo vaak komt het niet voor dat PHP scripts werkelijk als de user van de website draaien :) In ieder geval niet zo vaak als dat al die websites nu gehacked worden :p

Ik heb zelf effe gecontroleerd hoe het zat met die kwetsbaarheid. De worm is gestopt maar misschien gewoon niet tot bij jou geraakt (was bij mij bvb het geval). Een gemakkelijke manier om te controleren of je nog kwetsbare pagina's hebt is door dit command te laten lopen in je webdir .
Dit print de locaties van de kwestbare bestanden af.


find . -name "viewtopic.php" |
xargs grep -l \(htmlspecialchars\(urldecode\(

(moet eigenlijk in één lijn staan, maar dan breekt ie uit zijn tabel, en ik weet de conventie hierrond niet op dit forum)

http://forums.cpanel.net/showthread.php?t=33181

Hier staat een klein script om een quick en dirty patch te doen om de worm te stoppen (alhoewel dit niet de andere bugfixes repareert, dus upgraden blijft wel nodig).

Wij hadden te maken met tientallen gebruikers welke vaak zelf een installatie hadden gedaan, dus dit was de snelste manier om de boel te "dichten"

@Fanatic : door een 'backslash' (teken wordt blijkbaar gefiltered) achter het commando te plaatsen kan je deze over meerdere regels verdelen:


find . -name "viewtopic.php" | \
xargs grep -l \(htmlspecialchars\(urldecode\(

Er is niet echt een conventie hieromtrent op het forum maar mijns inziens is het altijd handig dit aan te houden indien je een commando over meerdere regels verdeelt.

Voor de mensen die moeite hebben met patchen:

http://213.247.47.120/fixphpBB.sh

Er moet slocate en sed op de server geinstalleerd staan (als je geen slocate hebt moet je 't script even editen met een find / -name oid)
Doe voor je 't script runt even een updatedb..

Script zoekt naar alle viewtopic.php bestanden, kijkt of ze kwetsbaar zijn, en past de file aan als deze exploitable is dmv sed..

disclaimer:
Ik neem geen enkele verantwoordelijkheid voor de werking deze file, en je moet ALTIJD kijken wat er in een script staat voor je 't uitvoert als root :)

leuk als je dat script op gemodde forums uitvoert :). Kan dan problemen geven.

Ik weet dat het topic al oud en vergaan is maar toch even een vraag.
Wij zitten met erg veel klanten die PHPBB gebuiken maar van updaten nog nooit gehoord hebben. Mijn vraag is dus hoe jullie dit aanpakken?

Zelf heb ik al vaker gespeeld met het idee om phpBB te verbieden maar dat vind ik ook geen oplossing, dus momenteel schakel ik automatish elke site uit die niet geupdate is naar de nieuwse versie. Uit de reactie van klanten blijkt altijd dat ze er niets van wisten of dat ze het compleet achterlijk vinden dat wij hun site/forum plat leggen.

Momenteel draaien wij PHP4 als apache module en gebruiken wij mod_suid om er voor te zorgen dat apache onder de eigen gebruiker werkt. Dit alleen is natuurlijk niet geheel veilig dus hebben wij alle kernels met RSBAC gecompiled, dit geheel zorgt er voor dat alleen de site van de gebuiker gedefaced kan worden, maar tegenwoordig zijn er erg veel varianten op Sanity.A/B/C die gaan lopen spammen of proberen IRC-bot te zijn. Ik weet het ze kunnen niets uithalen maar de prestaties van de servers gaat hierdoor wel omlaag.

Het beste zou zijn om je klanten aan te raden zich aan te melden op de phpBB mailling list, gister ochtend was er een phpBB update (2.0.15 laat dat zien in admin panel zodra er een update is), en gisteravond had ik een mail in me mailbox dat hetzelfde zei, hiermee zorg je dat je klanten in ieder geval geinformeerd zijn van updates, als ze dan nog niet updaten zijn ze gewoon niet slim bezig, aangezien ze dan hun site open stellen voor elke aap die denkt leuk te zijn door het te defacen...

Die bug heb ik ontdekt in 2.0.15. Met de fix van een oude Phpbb was er een nieuwe bug bijgekomen die je in staat stelde om PHP code uit te voeren op de server. De fix heeft men in 2.0.16 aangebracht zoals hierboven te lezen valt (htmlspecialchars). Dit risico loop je gewoon met OSS en is geen specifiek Phpbb probleem want ook in andere fora zitten bugs.

Wat je natuurlijk ook kunt doen is je server op filesystem niveau en je PHP parser beveiligen zodat de meest standaard exploits en wormen (die zich vooral op generieke configuraties richten) jou niet snel zullen treffen. Helaas draaien de meeste mensen hun systeem zonder veiligheid aan te brengen op verschillende lagen en zijn dus vatbaar voor de standaard virussen en attacks. Dit zou standard practise moeten zijn zeker gezien de hoeveelheid virussen en wormen die voor Linux en andere systemen beschikbaar zijn.

Ohja, in het geval van PhpBb kun je zorgen dat je klanten geabonneerd zijn op de mailinglist van dit product. En zoals de vorige reactie al zegt: het admin panel waarschuwt voor nieuwe updates.

M.i. is iedereen verantwoordelijk voor zijn eigen stukje beveiliging. Een klant wordt gehacked met zijn PhpBb omdat hij deze niet heeft bijgehouden: eigen verantwoordelijkheid. De hoster heeft zijn security ook niet op orde en wordt via zijn klant gehacked: beide verantwoordelijk.

Bedankt voor de tip.
Ga eens kijken! Heb zelf ook phpbb2

eh... dit topic is like, 2 jaar oud? mss maar uit annoucements lijst halen

updaten updaten en nog eens updaten

htaccess doet ook wonderen.

@Gazkin, stoppen met kicken van topic van voor de oorlog! :(