16-02-05 01:00
Crv napada phpBB forum
piše NINO KATIĆ
Meta učestalih napada ovih dana je bugoviti phpBB forum verzije 2.0.4 do 2.0.10. Primjer napada uočen je i na jagoru. Sredstvo napada je tipični crv koji iskorištava rupu u phpBB forumu da bi izvršio kod na udaljenom računalu. Crv je napisan u perlu, a slijedi opis načina njegovog rada.
Na početku, crv pokušava preko googlea pronaći potencijalno ranjive verzije phpBB foruma, te varira ove teme:
http://www.google.co.id/search?q=%22.php?p=%22+%22phpBB+2.0.5%22+9694&num=50&start=50
Google sada prepoznaje napad i daje poruku o greški, obavijest o samom virusu; prije nekog vremena to još nije bilo tako. Kada je dobio određeni set rezultata, crv sprema njihove web adrese, provjerava još jednom jesu li to ranjivi forumi i testira mogućnost napada. Da bi napad uspio na ranjivom računalu mora biti instaliran perl koji će putem rupe u phpbbu biti pozvan kroz socket konekciju na port 80 sličan ovome:
http://ranjivi.site/phpBB/viewtopic.php?t=3197&highlight=%2527%252Esystem(chr(112)%252Echr(101)%252Echr(114)%252Echr(108)%252Echr(32)%252Echr(45)%252Echr(101)%252Echr(32)%252Echr(34)%252Echr(112)%252Echr(114)%252Echr(105)%252Echr(110)%252Echr(116)%252Echr(32)%252Echr(113)%252Echr(40)%252Echr(106)%252Echr(83)%252Echr(86)%252Echr(111)%252Echr(119)%252Echr(77)%252Echr(115)%252Echr(100)%252Echr(41)%252Echr(34))%252E%2527
U URL-u je enkodiran poziv perlu s -e switchem koji poziva system funkciju i prosljeđuje joj nekakav string.
Evo toga koda:
perl -e \"print q(jSVowMsd)\"
Ako komanda uspije crv navedeni string ispisuje, a to znači da je pronašao plodno tlo za nastavak širenja. Odmah potom slijedi sličan poziv wgetu putem kojega crv u /tmp direktorij skida dva filea i pokreće ih na ugroženom računalu. Jedan je sam crv opisan ovdje, a drugi je IRC bot koji se spaja na IRC te na određenom kanalu objavljuje popis hackiranih mašina.
Kako se zaštiti? Najbolje bi bilo maknuti phpBB sa sistema, a ako je to nemoguće, obavezno ga je dograditi na najnoviju verziju 2.0.11! (http://www.phpbb.com)
Na nekim stranicama, poput ove: http://www.jzone.co.uk/node/90 spominju se još neke karakteristike napada, očito vezane uz varijaciju na temu opisanog crva.
Tehnički detalji vezani uz crv:
Crv: /tmp/.cinta
Bot: /tmp/.cintaBot Log crva: /tmp/ssh-490bK31331 Kreira: /tmp/.CintaHere2
|