Forum nuovamente in linea.

Il modulo dei forum e' tornato in linea dopo una frenetica ma breve manutenzione dovuta ad un grave problema di sicurezza.
I web master intressati alle modifiche necessarie per risolvere il problema possono leggere il seguito dell'articolo.

Tana dei Goblin

Il modulo dei forum e' tornato in linea dopo una frenetica ma breve manutenzione dovuta ad un grave problema di sicurezza.
I web master intressati alle modifiche necessarie per risolvere il problema possono leggere il seguito dell'articolo.


Scrivo questo articolo perche' ho avuto tantissime difficolta' a trovare delle informazioni su come il verme si propagasse e potere quindi scrivere le modifiche al codice per evitare che il sito venisse colpito.


Prima informazione: Il worm si inserisce nel file VIEWTOPIC.PHP del modulo PHPBB


Una nuova logica SBAGLIATA fa si che non vengano duffuse tutte le informazioni necessarie perche' chi e' in grado di farlo possa scrive le proprie patch. Ovviamente chi scrive i Worm ha queste informazioni, mentre quelli che hanno scritto il modulo di PHPBB non vogliono fare la figura dei fessi e quindi evitano di diffondere le informazioni con la puerile e stupida scusa che cosi' altre persone potrebbero sfruttare il loro bug!


Questo comportamento e' esecrabile perce' ha messo me in grave difficolta' e tante altre persone che hanno avuto la sfortuna di scegliere PHPBB come forum per i loro sistemi.


PHPBB sostiene di avere pronta la patch alla versione 2.0.11 che elimina il problema...


Certo! peccato che chi usa PHP-NUKE non possa usare direttamente il modulo cosi' come viene realizzato ma ha bisogno di modificarlo (pesantemente) prima di inserirlo.


Quindi visto che non viene piu' realizzato lo strumento PHPBB 2 NUKE l'unica soluzione e' di modificare il modulo incriminato, ma come faccio a fare le modifiche se non mi dicono quali sono le lineed di codice incriminate e la vulnerabilita' sfruttata????


Questo e' il segreto di pulcinella che vi vado ad illustrare di seguito dopo una comoda notte di lavoro grazie a quelle persone che hanno deciso che era piu' sicuro per me e per tutti voi rimanere all'oscuro del codice incriminato.


//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));


L'ultima riga deve diventare


$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));


Visto che il worm utilizza la funzione URLDECODE


L'altro problema e'legato all' HI-LIGHT delle parole cercate.


La funzione REGEX con l'opzione "e" interpreta ed esegue il testo che viene passato nella GET nella variabile HILIGHT come fosse del codice PHP che viene di fatto eseguito.


Questo pezzo di codice e'


<br />$message = str_replace('"', '"', substr(preg_replace('#(&gt;(((?&gt;([^&gt;&lt;]+|(?R)))*)&lt;))#se', "preg_replace('#(" . $highlight_match . ")#i', '<br />(continua sulla riga)<br /><br />$theme['fontcolor3'] . ""&gt;1', '')", '&gt;' . $message . '&lt;'), 1, -1));<br />

(Tutto sulla stessa riga)

Io non ho una soluzione , per ora, e mi sono limitato a commentarlo (ovvero l'hi-ligth non funziona).


Questi sembrerebbero i due punti di entrata del Worm.
Spero che sia sufficiente ma ho preferito ri-aprire i forum e rischiare eseguendo frequenti Back-UP che lasciarlo chiuso e privarvi di questo giocattolo per colpa di uno script kid che scopa poco in qualche parte del mondo.


Di seguito il comunicato di Kaspersky Lab che spiega cosa fa il Worm:


Kaspersky Lab, a leading manufacturer of secure content management systems, has detected a new worm, Net-Worm.Perl.Santy.a. This worm infects certain web sites by exploiting a vulnerability in phpBB, a popular package used to create Internet forums. Santy.a is spreading rapidly, and has caused an epidemic. However, this does not directly affect end users - although the worm infects web sites, it does not infect computers used to view these sites.

Santy.a is something of a novelty - it creates a specially formulated Google search request, which results in a list of sites running vulnerable versions of phpBB. It then sends a request containing a procedure which will trigger the vulnerability to these sites. Once the attacked server processes the request, the worm will penetrate the site, gaining control over the resource. It then repeats this routine.

Once the worm has gained control over a site, it will scan all directories on the infected site. All files with the extensions .htm, .php, .asp, .shtm, .jsp and phtm will be overwritten with the text 'This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation'.

Apart from defacing infected sites with this text, the worm has no payload. It will not infect machines which are used to view infected sites. Kaspersky Lab recommends that all users of phpBB should upgrade to version 2.0.11 to prevent their sites from being defaced.