يك اخطار براي دارندگان انجمنهاي phpbb

[Jasem]

A new worm that is wreaking havoc on websites uses the popular Google search to hunt down its potential victims. It infects sites running the popular phpBB discussion forum software - a package used to create Web forums.

Termed Net-Worm.Perl.Santy.a., the worm has been detected by Kaspersky Lab, a developer of content management systems. Though the worm is spreading rapidly, it however, does not directly affect end users - it affects only Web servers.

According to the company, it creates a specially formulated Google search request, which results in a list of sites running vulnerable versions of phpBB. It then sends a request containing a procedure, which will trigger the vulnerability to these sites.

Once the attacked server processes the request, the worm will penetrate the site, gaining control over the resource. It then repeats this routine.

After gaining control over a site, it scans all directories on the infected site. All files with the extensions .htm, .php, .asp, .shtm, .jsp and phtm will be overwritten with the text 'This site is defaced!!! NeverEverNoSanity WebWorm generation'.

Apart from defacing infected sites with this text, the worm has no payload. It will not infect machines, which are used to view infected sites, claims the company.

Kaspersky Lab recommends that all users of phpBB should upgrade to version 2.0.11 to prevent their sites from being defaced


-------------------------------------------------
بچه ها حتماْ دقت كنيد .

 

[m_ghoochani]

فارسي مي نوشتي ما هم بتونيم بخونيم

 

[Mohi]

فارسي مي نوشتي ما هم بتونيم بخونيم

همون ...

 

[S4DEGH]

عزيز از اين خبرا من زياد دارم فقط همه انگليسي است .
اگه همه را بخوام ترجمه كنم ساعت ها طول مي كشه براي همين بيرون نمي دم شما هم يك زحمت بكش فارسيش كن تا بقه بتونن بخونن !

 

[Ghamnevis]

عجب چيز خفني !

من كه ديگه دور بي بي نميرم !

فكر ميكنم سايت پارس فوتبال هم با همين كرم ديفيس شده !

ولي طرز كرش جالبه ها ! بازنويسي تمام فايلهاي تحت وب با اين جمله !


جاسم جان پتچي كه هنوز براش ارائه نشده ؟

 

[navid_irani]

مشهدتيم - كرم جديدي با نام كهSanty بسرعت در حال گسترش بود توسط گوگل متوقف شد بر خلاف ديگر worm ها هدف اين كرم انجمن هاي PHPBB بود اگر به google بريد و عبارت intitle:"This site is defaced!!!" NeverEverNoSanity Webworm generation را تايپ كنيد يك نتيجه غير قابل باور بدست خواهيد اورد تعداد بسيار زيادي از سايت هايي كه از انجمن هاي phpbb استفاده ميكردند Deface شدند اين كرم بوسيله گوگل و با استفاده از ليستي كه از سايت هايي كه از نسخه هاي اسيب پذير استفاده ميكردند درخواستي را ارسال ميكرد كه باعث بوجود امدن اسيب پذيري ميشد براي اطلاعات بيشتر اينجا كليك كنيد http://www.f-secure.com/v-descs/santy_a.shtml ضمن اينكه بخاطر فيلتري كه گوگل براي جلوگيري از انتشار Santy قرار داده ديگر خطري سايت هايي كه از انجمن هاي phpbb استفاده ميكنند را تهديد نميكند در سايت رسمي phpbb.com هم يك patch براي اين كرم ارائه شده است كه براي اطلاعات بيشتر اينجا كليك كنيد http://www.phpbb.com/phpBB/viewtopic.php?t=240513

منبع : www.mashhadteam.com

 

[Ghamnevis]

بسيار عالي ..

دست شما درد نكنه..


ـــــــــــــــــــــــــــــــــــــــ
الآن ديدم ! من هميشه يك قدم عقبم ! چون دقت ندارم ! من اين رو تقريبا يكماه پيش پتچ كرده بودم ولي اسم كرم را نميدونستم

ـــــــــــــــــــــــــــــــــــــــ
موفق باشيد
سايان

 

[naeim_crack]

حالا فهمیدم کدومو میگه بابا

 

[Mohsen_Spy]

اين حفره تقريبا قديمي هست ولي به دليل اينكه روي اين حفره كار نشد و مديران خيلي از سايت ها به اين حفره توجه نكردن اين ورم شروع به كار كرده است ...
بهترين كار اين هست كه سايت خودتون رو به ورژن 11 آپگريد كنيد و روي فلدر ادمين خودتون پسورد بزايريد .

 

[BeHnAm_akb]

ميشه يكي كامل در مورد اين حفره و طرز كار كرم توضيح بده



اين پچ براي سيستم هاي فارسي مشكل ايجاد مي كنه؟

 

[Mohsen_Spy]

خوب توضيح كه داده شد براي اطلاعات بيشتر هم به سايت پي اچ پي بي بي بريد و در قسمت امنيت ...
پچ كردن هم اگه درست انجام بشه مشكلي ايجاد نمي كنه .

 

[Jasem]

البته قبلش حتما يك بك آپ از انجمن بگير .

 

[Jasem]

از سايت websecurity.ir

-------------------------------------------------------------------------
گوگل كرم Santy را له كرد

نويسنده : امير حسين شريفي


شركت گوگل به شركت هاي آنتي ويروس پاسخ داد، اين شركت ها از گوگل درخواست كرده بودند كه درخواست هاي كرمهايي همچون Santy و ديگر كرمها كه از طريق موتورهاي جستجو قرباني هاي خود را پيدا مي كنند، را پاسخ ندهند.

شركت هاي آنتي ويروس اعلان كرده اند كه كرم SaNTY كه از طريق موتور جستجوي گوگل سايت هايي كه از نسخه هاي آسيب پذير phpBB استفاده مي كنند را پيدا مي كند تا به حال بيش از 40000 سايت را آلوده كرده است.

سخنگوي گوگل در اين زمينه به كاربران اعلان كرد كه كاربران گوگل از اين آسيب پذيري در امان مي باشند و كه ديگر به اينگونه درخواستهاي اين كرم، پاسخي نخواهد داد.

شركت گوگل بعد از شركت هاي آنتي ويروس همچون F-Secure اقدام به مقابله با اين كرم كرد. اقدام گوگل در اين زمينه مي تواند جلو انتشار اين كرم را بگيرد.

در ماه آگوست نيز كرم MyDoom نيز با جستجوي موتور هاي جستجويي همچون گوگل اقدام به پيدا كردن آدرس هاي ايميل مي كرد و خودش را به آنها ارسال مي كرد. همين امر باعث شده بود كه موتور جستجوي گوگل در بعضي مواقع در دسترس نباشد و يا خيلي كند عمل كند.

لازم به ذكر است كه سايت K-Otik سورس كد اين كرم را نيز منتشر كرده است.

-------------------------------------------------------------

 

[4shir]

سلام من مدتي نبودم قبل از اينكه اين ورم بياد هشدارش رو به اقا مجيد داده بودم اما متاسفانه بخاطر فوت يكي از دوستان مدتي نبودم الان هم كه درسهام زياد شده كمتر ميام توي سايتها با عرض معذرت بابت ديركردم اولن بحث اين ورم توي سايت خود من مطرح شد من منتها حواسم نبود به اين تا همين 10 مين پيش كه فهميدم چه خبر هستش اگر يادتون باشه خود من توي يكي از همين تاپيكهاي توي تالار هك و امنيت گفتم كه يك باگ خطرناك براي بي بي اومده و اموزش پتچ كردنش رو هم گزاشتم و گفتم تقريبا با اين كار نيازي به اپديت نداريد اما كسي چيزي نگفت تا اينكه اقاي براي اين باگ يك نوع كرم بسيار جالب نوشتن كه طرز كارش به اين صورت بود كه از طريق موتورهاي جستجوي گوگل به دنبال سايتهاي كه اين حفره رو داشتم ميگشت و مخصوصا اين فايل توي اون هاست(viewtopic.php) و بعد از پيدا كردن اون سايت شروع به نفوذ از طريق باگ ميكرده و خودش رو جايگزين فايل viewtopic.php ميكرده كه چيزي در حدود 20بايت بيشتر ميشه حجم فايل بعد از اين انتقال ممكنه كه كرم دوباره به سرور حمله كنه و سايتهاي بيشتري رو از روي هاست ديفيس كنه با جايگزين كردن فايل مورد نظر اطلاعات بيشتر نياز گمون نكنم باشه اگر يكم هواي سايتتون رو داشته باشيد نيازي به اين حرفها نداريد

من كه ديگه دور بي بي نميرم !

در ضمن اين كرم در تاريخ 21 سپتامبر اومد و گوگل نيز در تاريخ 22 سپتامبر اين كرم رو متوقف كرد ولي با يكم دستكاري اين سورس كه متاسفانه پابليك هم شده ميشه براحتي اون رو مورد استفاده قرار داد اين هم لينك براي پتچ كردنش هر چند قبلا خودم گزاشتم توي سايتhttp://www.phpbb.com/phpBB/viewtopic.php?t=240513

 

[4shir]

موقعي كه من داشتم پست ميدادم جاسم پستش رو داده بود كه من الان ديدم كرم MyDoom بعد از نشستت روي يك سيستم سايتهاي مشهور مثل گوگل (هدف اصلي) ماكروسافت و چند سايت ديگه رو مورد حمله قرار داد و اگر موقع انتشار اون علت دان شدن گوگل اين بود باقي اطلاعات هم كه درست هستن ممنوم هستم
ساسان

 

[jalad]

ساسان راست مي گه اين باگه قيه نموره قديميه
هر كي بخواد من اسكورش رو مي دم در ضمن كرم تو گوگل اينو رو سرچ مي كنه
http://www.google.com/advanced_search
sub GoGoogle() {
my @urls;
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' . '&
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) .
'%22&btnG=Search';


ظرزكارش رو نمي گم اما اگه خواستيد اسكورش رو مي دم

 

[4shir]

نه درست مثل اين رو ولي يك چيزي تو همين مايه ها رو سرچ ميكنه
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000))

 

[BeHnAm_akb]

نه درست مثل اين رو ولي يك چيزي تو همين مايه ها رو سرچ ميكنه
q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000))

ميشه بگيد اين چي كار ميكنه؟


راستي آيا بازم خطري هست؟

 

[4shir]

يك جوراي براي پيدا كردن سايتهايي هست كه فايل viewtopic.phpرو توي خودشون دارنallinurl%3A+%22viewtopic.php در مورد خطرناكيش هم بايد بگم شديدا خطر ناك هستش اگر سيستم خودتون رو به روز نكنيد يا پتچ نكرده باشيد چون ظرف دو سه روز آينده نسخه هاي جالب تر و جديد ترش رو ميبينيم

 

[BeHnAm_akb]

ميشه طرز پچ كردنشو كامل بگبد