image

Elke PHP site loopt gevaar door nieuwe Santy worm

maandag 27 december 2004, 09:17 door Redactie, 23 reacties

Na het verschijnen van de Santy worm zijn er inmiddels meer varianten en andere malware ontdekt die van lekken in PHP en phpBB misbruik maken. Het zou gaan om Net-Worm.Perl.Santy, Backdoor.Perl.Shellbot, Backdoor.Perl.Termapp en Backdoor.Perl.Nois. Sommige gebruiken de zoekmachines van AOL en Yahoo om kwetsbare websites te vinden. Tot zover bekend zouden de zoekopdrachten via AOL mislukken, maar via Yahoo werken. Anti-virusbedrijf F-Secure heeft dan ook net als bij Google contact opgenomen met Yahoo om de zoekopdrachten van de PHP-malware te filteren.

Update 9:44

Volgens Kaspersky Labs gebruikt Santy.E "PHP Scripts Automated Arbitrary File Inclusion" om php scripts te exploiten. Dit zou alleen door degelijk en veilig progammeren voorkomen kunnen worden, wat zou inhouden dat elke site potentieel gevaar loopt om getroffen te worden. Er zijn al veel berichten van websites die door geinfecteerde hosts worden aangevallen. Kaspersky verwacht dan ook dat meer websites getroffen zullen worden of door de aanvallen erg traag zullen worden.

Meer informatie over PhpInclude en de waarschuwing van K-OTik Security voor deze zeer gevaarlijke worm.

Reacties (23)
27-12-2004, 11:13 door Anoniem
Zit je dan met je linux-servertje :-S
27-12-2004, 11:35 door Walter
Door Anoniem
Zit je dan met je linux-servertje :-S
Keurig alles updaten, en je hebt nergens last van.
27-12-2004, 11:38 door Anoniem
Wat nou linux servertje? PHP draait ook op windows/bsd etc ...
27-12-2004, 12:02 door Anoniem
Mmmm ik zie die worm nog niet in de Pine Virus Top 5 staan
dus zal 't allemaal wel mee vallen
27-12-2004, 12:12 door Anoniem
Door Anoniem
Zit je dan met je linux-servertje :-S

Haha... alsof PHP alleen daarop draait...
27-12-2004, 12:12 door Anoniem
Door Anoniem
Zit je dan met je linux-servertje :-S

Jij snapt het verschil tussen besturingssystemen, zelf
programmeren en softwarepaketten helaas niet.
Om je even op weg te helpen:
- updaten is niet systeem afhankelijk;
- veilig programmeren moet op elk publiek systeem;
- deze lekken hebben niets met een specifiek
besturingssysteem te maken.
27-12-2004, 12:19 door [Account Verwijderd]
[Verwijderd]
27-12-2004, 12:27 door Frans E
Door Anoniem
Mmmm ik zie die worm nog niet in de Pine Virus Top 5 staan
dus zal 't allemaal wel mee vallen

Daar komt hij ook niet omdat het geen virus is dat zich via mail verspreid.
27-12-2004, 12:29 door NoFearWizz
Deze worm werkt dus niet als je gewoon houd aan die punten die
genoemd worden in de mistakes.

Je include en require gewoon nooit direct uit een link laten halen.
(als je logisch nadenkt) is dat ook gewoon niet veilig..
27-12-2004, 12:56 door Anoniem
Door Anoniem
Zit je dan met je linux-servertje :-S

idioot.
PHP heeft niks met het OS te maken. Kun je evengoed op een
Windows draaien.
27-12-2004, 13:08 door Dr.NO
Door Anoniem
Zit je dan met je linux-servertje :-S
zit je dan met je domme opmerking ;)

anyway, je mag nooit userinput zomaar vertrouwen. de
oplossing op devshed vind ik nou ook niet echt getuigen van
nette input validation. beter is een switch statement,
waarbij de includes gewoon hard in je code staan. het
includen van louter een variabele is onverstandig, want wat
als er nu een andere fout ervoor zorgt dat die array wordt
uitgebreid met '/etc/passwd'? ben je alsnog het haasje
27-12-2004, 15:48 door Anoniem
Het aanvallen is me nu wel duidelijk, maar hoe verspreid het virus
zich? Is het zo, dat alleen windows-machines deze worm
verspreiden, of kunnen linux-machines deze worm evengoed
verspreiden? Moet ik perl updaten? Moet ik PHP updaten. Hoe
installeert de worm zich op de computer?
27-12-2004, 15:52 door crypt0
grappig wel dat deze fout al HEEEEEEEEEEL lang bekend is. 3 jaar terug
heb ik er voor de gein al is een paar webservers van vrienden
mee "gekraakt".
27-12-2004, 17:34 door Anoniem
Door crypt0
grappig wel dat deze fout al HEEEEEEEEEEL lang bekend is. 3
jaar terug
heb ik er voor de gein al is een paar webservers van vrienden
mee "gekraakt".

Hoezo, 'deze' fout. Er wordt gebruik gemaakt van meerdere
fouten. Geef dan graag even aan welke fout je bedoelt.
27-12-2004, 18:16 door Anoniem
De tips die worden gegeven om het te voorkomen zijn wel zo
vreselijk "fucking" obvious dat ik mij afvraag wat wie zulke
belachelijke code schrijven, dat geen programmeren kan
worden genoemd.

De belangrijkste tip (voor elke applicatieprogrammeur,
inclusief webapplicaties) is nooit te vertrouwen op
userinput, niet direct, niet indirect, never nooit niet.
Ookal moet je er meer voor typen en meer bewust werken:
ALTIJD contrôlemechanismen inbouwen!
27-12-2004, 22:08 door Anoniem
Door Anoniem
De tips die worden gegeven om het te voorkomen zijn wel zo
vreselijk "fucking" obvious dat ik mij afvraag wat wie zulke
belachelijke code schrijven, dat geen programmeren kan
worden genoemd.

De belangrijkste tip (voor elke applicatieprogrammeur,
inclusief webapplicaties) is nooit te vertrouwen op
userinput, niet direct, niet indirect, never nooit niet.
Ookal moet je er meer voor typen en meer bewust werken:
ALTIJD contrôlemechanismen inbouwen!
We hebben het hier wel over PHP he :)
28-12-2004, 00:18 door Anoniem
Door Anoniem
We hebben het hier wel over PHP he :)
Dat betekent
dus dubbel opletten.
28-12-2004, 08:48 door crypt0
Door Anoniem
Door crypt0
grappig wel dat deze fout al HEEEEEEEEEEL lang bekend is. 3
jaar terug
heb ik er voor de gein al is een paar webservers van vrienden
mee "gekraakt".

Hoezo, 'deze' fout. Er wordt gebruik gemaakt van meerdere
fouten. Geef dan graag even aan welke fout je bedoelt.

Nou ze hebben het hier over include fouten, wat een manier van
programeren inhoud, wat dus maar 1 fout is die op meerdere
verschillende manieren kan worden geschreven. Conclusie, ik kon maar 1
fout bedoelen: includes in php. Dat het dan blaat.php?page=/etc/passwd of
nouen.php?boeie=/etc/passwd is maakt ook geen bal meer uit.
28-12-2004, 08:54 door Anoniem
Door Dr.NO
Door Anoniem
Zit je dan met je linux-servertje :-S
zit je dan met je domme opmerking ;)

anyway, je mag nooit userinput zomaar vertrouwen. de
oplossing op devshed vind ik nou ook niet echt getuigen van
nette input validation. beter is een switch statement,
waarbij de includes gewoon hard in je code staan. het
includen van louter een variabele is onverstandig, want wat
als er nu een andere fout ervoor zorgt dat die array wordt
uitgebreid met '/etc/passwd'? ben je alsnog het haasje


zit je dan, met die tecnhische prietpraat van je :-)
28-12-2004, 08:56 door Anoniem
Voorheen werd deze fout een bug in de webapplicatie genoemd
nu is het in eens een PHP fout .... Pure FUT is het !
28-12-2004, 09:58 door Anoniem
FUD
28-12-2004, 23:12 door Anoniem
safe_mode = on
allow_url_fopen = fopen

in php.ini zou dit voorlopig moeten stoppen? (naast de
obigatory php updates)

S.
29-12-2004, 09:01 door Anoniem
Door Anoniem
safe_mode = on
allow_url_fopen = fopen

in php.ini zou dit voorlopig moeten stoppen? (naast de
obigatory php updates)

S.

obigatory ? man, zeg toch gewoon verplicht als je het
engelse woord niet weet !
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.