Joined: 25 Aug 2003 Posts: 1842 Location: Zagreb, Hrvatska
Posted: 12.01.2005 01:33 Post subject: Santy worm i metode za serviranje odjeba istom
Dakle, količina prometa koja se dešava na forumu je enormno porasla odkad se crv proširio.
Sva je sreća da smo patchali forum par sati nakon sto je izasao patch, jer bi u suprotnom bilo svasta vjerojatno (iako nema stopostotne garancije da nije bilo upada u tih sat-dva).
No - promet koji djelomično (velika većina requestova) generira worm, a djelomično debili koji pokušavaju razjebat forum i site sa gotovom skriptom (koje cak nisu ni autori) - je i dalje enorman, i krajnje suvišan.
Razmišljalo se o automatskom banu IP-a sa kojeg dođe takav request, međutim to bi moglo zakaciti i nevine promatrace, stoga je odlučeno da se wormu i sličnima samo servira odjeb u smislu forbidden ili slicnog headera.
Ukoliko imate negdje phpbb forum i zelite se rijesiti smeća od prometa, 'zvolte par rewrite ruleova koji bi vam u tome mogli pomoći (nama jesu, pa eto, mozda nekom jos zatreba):
P.S.
Slični ruleovi postoje i na matičnom phpbb.com site-u (u support forumu). Slični, jerbo su ovi gore modificrani very slightly da rade sa svim generacijama worma (nadajmo se).
P.P.S.
Ovo je za apache, sa enableanim mod_rewriteom. Stavite to u .htaccess file u root forum foldera ili weba, bolje u root web-a, jer se onda automatski apply-a na sve foldere ispod.
P.P.P.S.
Ovo stavljam tu in case da netko slucajno dobije forbidden, a ima osjecaj da ne bi trebao, pa da moze javiti i reci sta je tocno, kad i gdje kliknuo, i s kojim browserom, pa da eventualno fixamo to, iako se to ne bi trebalo desiti nikome
P.P.P.P.S. [ilti kutak za one koji žele znati više, kako je to zvala moja profesorica matematike, pokoj joj duši]
Nekoliko dana nakon originalnog worma, pojavio se i white worm, u obliku perl skripte koja fixa sve phpbb forume (odnosno verzije koje su ranjive) na pokrenutoj masini. Nakon sto ih fixa, ostaje aktivan jos jedan dan na pokrenutom serveru i pokusava se prosiriti dalje i fixati daljnje skripte na drugim serverima. Eto, samo kuriozitet - taj white worm je velik svega par kilobjata perla (nije da je ovaj drugi nesto znacajno veci)
linija1. ukljucuje rewrite engine :)
2. provjerava da li u query_stringu postoji higlight=%2527 koji se koristi za explioit. u uglatim zagradama se nalaze tzv. flagovi NC znaci no case tako da nije bitno kojim caseom pise higlight OR znaci ILI tako da ukoliko nije matchan prvi uvijet prelazi na sljedeci
3. ista stvar ko i drugi
4. provjerava phpbb cookie
5. provjerava jel user agent ima sljedeci string kojim se identificira worm
ako je ijedan od prethodnih conditiona matchnut ne rewritea ga nigdje neko mu salje forbidden header (flag F) i kaze da je to zadnje pravilo (flag L)
mislim da nisma puno fulao, nisam neki expert kaj se tice regexpa pa ako sam nesto krivo napisao neka me netko ispravi :)
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum