Внимание! Вирус, который может убить нашу конференцию

Обсуждение материалов сайта "МИР NVIDIA".
Ответить
DeathBringer
Старожил
Сообщения: 1139
Зарегистрирован: 01.01.1970 3:00
Откуда: Россия, Москва
Контактная информация:

Внимание! Вирус, который может убить нашу конференцию

Сообщение DeathBringer » 22.12.2004 15:10

Так как наша конференция использует phpBB версии 2.0.4, она может скоро умереть
http://www.viruslist.com/alert.html?id=146468257
Обновите пожалуйста ее до 2.0.11

alex_31337
Участник
Сообщения: 516
Зарегистрирован: 01.01.1970 3:00
Откуда: UndergroundTeam
Контактная информация:

Сообщение alex_31337 » 22.12.2004 20:13

http://prdownloads.sourceforge.net/phpb ... p?download

кажется надо этот патч скачать, чуть меньше мега

DrEvil
Администратор Judge Dredd
Сообщения: 17062
Зарегистрирован: 17.01.2003 11:52
Контактная информация:

Сообщение DrEvil » 23.12.2004 20:21

Патч нам не поможет...мы слишком переделали конфу

djpython
Старожил
Сообщения: 2507
Зарегистрирован: 01.01.1970 3:00
Контактная информация:

Сообщение djpython » 23.12.2004 22:01

DrEvil
мы слишком переделали конфу
Возможно это же нас и спасёт...

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 23.12.2004 22:53

Товарищи, вы существенно поможете, если найдёте информацию о конкретных уязвимостях, испльзуемых вирусом.
Это сэкономит массу времени и поможет закрыть дыры.
Иначе модификаций, предлагаемых авторами слишком много.

Гость
Старожил
Сообщения: 1418
Зарегистрирован: 01.01.1970 3:00
Откуда: Из матери..
Контактная информация:

Сообщение Гость » 24.12.2004 2:49

Нашу конференцию вирус не заденет.. - DOS - 6.22 НЕДОСЯГАЕМ!

JaJa
Клубмен
Клубмен
Сообщения: 3253
Зарегистрирован: 08.10.2003 0:15
Откуда: МИРовой Клуб
Контактная информация:

Сообщение JaJa » 24.12.2004 3:56

Для защиты непропатченных сайтов виртуального хостинга рекомендуется использовать, Например, такое правило:
RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.*)echr(.*) [OR]
RewriteCond %{QUERY_STRING} ^(.*)esystem(.*)
RewriteRule ^.*$
Код червя http://www.securitylab.ru/50792.html

ALiEN2k1
Клубмен
Клубмен
Сообщения: 2572
Зарегистрирован: 01.01.1970 3:00
Откуда: Vault 13
Контактная информация:

Сообщение ALiEN2k1 » 24.12.2004 19:28

блин, перл... я ни бум-бум в нём...
Ground Zero шаришь?

djpython
Старожил
Сообщения: 2507
Зарегистрирован: 01.01.1970 3:00
Контактная информация:

Сообщение djpython » 24.12.2004 19:49

ALiEN2k1
Это даже не Perl, а директивы mod_rewrite Apache их можно даже в корневой .htaccess phpBB запихать, хотя это чуть сильнее подгрузит сервер по сравнению если это записать прямо в httpd.conf Apache...
Лишь бы сам mod_rewrite был включен.

JaJa
Клубмен
Клубмен
Сообщения: 3253
Зарегистрирован: 08.10.2003 0:15
Откуда: МИРовой Клуб
Контактная информация:

Сообщение JaJa » 24.12.2004 19:57

ALiEN2k1 Пока у Вас есть передышка. Google забанил командную строку поиска, которую использовал вирус...

Пока есть передышка, до появления новых модификаций.

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 24.12.2004 20:23

Странные какие-то правила...
Но можно попробовать добавить.

ALiEN2k1 переговорим с Игорем и с тобой аськой свяжусь.

djpython
Старожил
Сообщения: 2507
Зарегистрирован: 01.01.1970 3:00
Контактная информация:

Сообщение djpython » 24.12.2004 21:06

Ground Zero
Странные какие-то правила...
Но можно попробовать добавить.
Очень простые правила. Ищут подстроки "echr" или "esystem" в запросе и если находят заменяют его (запрос) пустой строкой.

ALiEN2k1
Клубмен
Клубмен
Сообщения: 2572
Зарегистрирован: 01.01.1970 3:00
Откуда: Vault 13
Контактная информация:

Сообщение ALiEN2k1 » 24.12.2004 22:05

djpython Я не про то, что написал JaJa, а про исходник червя. :(
Ground Zero Говори. Если Большой Слон даст добро - кидай в асю, но, скорее всего, это дело Вада будет, если Апач.

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 25.12.2004 0:18

djpython

Да что они делают-то понятно, я не о том.
Синтаксис необычный.
Я, к примеру, иначе пишу...

ALiEN2k1
Если Большой Слон даст добро - кидай в асю
ОК
исходник червя
Не, с пёрлом только макушками знаком...

Bishop
Присматриваю
Сообщения: 2147
Зарегистрирован: 10.11.2002 16:04
Откуда: Россия, Таганрог
Контактная информация:

Сообщение Bishop » 29.12.2004 10:22

ALiEN2k1, Большой Слон дал добро Маленькому.

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 29.12.2004 19:06

Bishop

Ага, всем стадом уже выдвигаемся на слонах :)

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 30.12.2004 0:19

Значит так, попробовал добавить директивы в .htaccess, RewriteEngine включается нормально, но правила сразу дают 500-ю ошибку.

JaJa
Клубмен
Клубмен
Сообщения: 3253
Зарегистрирован: 08.10.2003 0:15
Откуда: МИРовой Клуб
Контактная информация:

Сообщение JaJa » 30.12.2004 0:55

Брал тут http://www.securitylab.ru/50788.html сам на такое не способен.

Здесь изменения, которые внесены в php 2.0.11 в сравнении c 2,0,10
http://www.phpbbhacks.com/forums/viewtopic.php?t=40590

ещё тут
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513

Другой вариант:

Код: Выделить всё

RewriteEngine On
RewriteCond %{QUERY_STRING} ^(.)highlight=%2527
RewriteRule ^.$ - [F,L]
чего делает то же не знаю :?

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 30.12.2004 1:17

JaJa
RewriteCond %{QUERY_STRING} ^(.)highlight=%2527
RewriteRule ^.$ - [F,L]
Заменяет строку highlight=%2527 в запросе на пустую.
Зачем - непонятно.

JaJa
Клубмен
Клубмен
Сообщения: 3253
Зарегистрирован: 08.10.2003 0:15
Откуда: МИРовой Клуб
Контактная информация:

Сообщение JaJa » 30.12.2004 8:43

Ground Zero в коде червя есть строки

Код: Выделить всё

my $tryCode = '&highlight=%2527%252Esystem(' . str2chr($perlOpen) . ')%252e%2527';

my $portion = '&highlight=%2527%252Efwrite(fopen(' . str2chr($selfFileName) . ',' . str2chr('a') . '),' . str2chr($1) . '),exit%252e%2527';
По третьей ссылке из последнего поста тоже это упоминается.

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 30.12.2004 11:33

JaJa

Дык, тогда скорее нужно правло:

RewriteCond %{QUERY_STRING} ^(.)highlight=[^?]?
RewriteRule ^.$ - [F,L]

djpython
Старожил
Сообщения: 2507
Зарегистрирован: 01.01.1970 3:00
Контактная информация:

Сообщение djpython » 30.12.2004 15:18

Ground Zero
Тогда все поисковые запросы с highlight работать не будут... Или нет?

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 30.12.2004 16:00

djpython

Не будут.
Но они и с
RewriteCond %{QUERY_STRING} ^(.)highlight=%2527

не будут работать, highlight то не будет...

djpython
Старожил
Сообщения: 2507
Зарегистрирован: 01.01.1970 3:00
Контактная информация:

Сообщение djpython » 30.12.2004 16:33

Ground Zero
А что разве в любом запросе есть "%2527" там же замена только если "highlight=%2527" или я чего-то не понимаю.
С моей точки зрения проще всего искать просто по "%2527" или "%2527%252E". Ты же можешь сваять правило чтобы все запросы с такой подстокой убивались? Или просто исправить первый вариант до рабочего состояния. Ты же сам говорил что обычно по другому делаешь.. Ну и попробуй.

Ground Zero
вошь-токарь
Сообщения: 2804
Зарегистрирован: 01.01.1970 3:00
Откуда: столько крови?..
Контактная информация:

Сообщение Ground Zero » 30.12.2004 17:43

djpython

Попробую, конечно.
Будем работать.

Ответить