Forum FAQForum FAQSearchSearch MemberlistMemberlist Forum ignore listForum ignore list RegisterRegister ProfileProfile Log in to check your private messagesLog in to check your private messages Log inLog in
Santy worm i metode za serviranje odjeba istom

 
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    mi3dot.org Forum Index -> Prijava bugova
View previous topic :: View next topic  
Author Message
zytzagoo
mi3.crew


Joined: 25 Aug 2003
Posts: 1842
Location: Zagreb, Hrvatska

PostPosted: 12.01.2005 00:33    Post subject: Santy worm i metode za serviranje odjeba istom Add user to your forum ignore list Reply with quote

Dakle, količina prometa koja se dešava na forumu je enormno porasla odkad se crv proširio.

Sva je sreća da smo patchali forum par sati nakon sto je izasao patch, jer bi u suprotnom bilo svasta vjerojatno (iako nema stopostotne garancije da nije bilo upada u tih sat-dva).

No - promet koji djelomično (velika većina requestova) generira worm, a djelomično debili koji pokušavaju razjebat forum i site sa gotovom skriptom (koje cak nisu ni autori) - je i dalje enorman, i krajnje suvišan.

Razmišljalo se o automatskom banu IP-a sa kojeg dođe takav request, međutim to bi moglo zakaciti i nevine promatrace, stoga je odlučeno da se wormu i sličnima samo servira odjeb u smislu forbidden ili slicnog headera.

Ukoliko imate negdje phpbb forum i zelite se rijesiti smeća od prometa, 'zvolte par rewrite ruleova koji bi vam u tome mogli pomoći (nama jesu, pa eto, mozda nekom jos zatreba):
Code:
RewriteEngine on
RewriteCond %{QUERY_STRING} highlight=\%2527 [NC,OR]
RewriteCond %{QUERY_STRING} rush= [NC,OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp [NC]
RewriteRule ^.*$        -       [F,L]


P.S.
Slični ruleovi postoje i na matičnom phpbb.com site-u (u support forumu). Slični, jerbo su ovi gore modificrani very slightly da rade sa svim generacijama worma (nadajmo se).

P.P.S.
Ovo je za apache, sa enableanim mod_rewriteom. Stavite to u .htaccess file u root forum foldera ili weba, bolje u root web-a, jer se onda automatski apply-a na sve foldere ispod.

P.P.P.S.
Ovo stavljam tu in case da netko slucajno dobije forbidden, a ima osjecaj da ne bi trebao, pa da moze javiti i reci sta je tocno, kad i gdje kliknuo, i s kojim browserom, pa da eventualno fixamo to, iako se to ne bi trebalo desiti nikome Smile

P.P.P.P.S. [ilti kutak za one koji žele znati više, kako je to zvala moja profesorica matematike, pokoj joj duši]
Nekoliko dana nakon originalnog worma, pojavio se i white worm, u obliku perl skripte koja fixa sve phpbb forume (odnosno verzije koje su ranjive) na pokrenutoj masini. Nakon sto ih fixa, ostaje aktivan jos jedan dan na pokrenutom serveru i pokusava se prosiriti dalje i fixati daljnje skripte na drugim serverima. Eto, samo kuriozitet - taj white worm je velik svega par kilobjata perla (nije da je ovaj drugi nesto znacajno veci) Smile

_________________
[+]I[+]am[+]my[+]own[+]religion[+]
Back to top
View user's profile Send private message Visit poster's website Twitter profile
Feeder



Joined: 12 Jan 2005
Posts: 9

PostPosted: 12.01.2005 18:40    Post subject: Add user to your forum ignore list Reply with quote

kod mene je Santy radio čuda...a da ne govorim sto je bilo s .htm .html fileovima Crying or Very sad
Back to top
View user's profile Send private message Visit poster's website
tRC



Joined: 07 Sep 2003
Posts: 1280

PostPosted: 12.01.2005 18:45    Post subject: Re: Santy worm i metode za serviranje odjeba istom Add user to your forum ignore list Reply with quote

zytzagoo wrote:

Nekoliko dana nakon originalnog worma, pojavio se i white worm, u obliku perl skripte koja fixa sve phpbb forume

ovo mi se jako sviđa Smile
Back to top
View user's profile Send private message
bj__



Joined: 09 Nov 2004
Posts: 65
Location: Karlovac

PostPosted: 12.01.2005 21:28    Post subject: Add user to your forum ignore list Reply with quote

jel bi bilo previse od mene traziti da objasnis ovih 5 linija koda (sto tocno koja radi)? ako nije problem Smile
Back to top
View user's profile Send private message Twitter profile
che.UP
mi3.crew


Joined: 07 Sep 2003
Posts: 2320
Location: zagreb

PostPosted: 13.01.2005 11:41    Post subject: Add user to your forum ignore list Reply with quote

bj__ wrote:
jel bi bilo previse od mene traziti da objasnis ovih 5 linija koda (sto tocno koja radi)? ako nije problem :)


bum ja probo :)

Code:
RewriteEngine on
RewriteCond %{QUERY_STRING} highlight=\%2527 [NC,OR]
RewriteCond %{QUERY_STRING} rush= [NC,OR]
RewriteCond %{HTTP_COOKIE}% s:(.*):\%22test1\%22\%3b [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^lwp [NC]
RewriteRule ^.*$        -       [F,L]


linija1. ukljucuje rewrite engine :)
2. provjerava da li u query_stringu postoji higlight=%2527 koji se koristi za explioit. u uglatim zagradama se nalaze tzv. flagovi NC znaci no case tako da nije bitno kojim caseom pise higlight OR znaci ILI tako da ukoliko nije matchan prvi uvijet prelazi na sljedeci
3. ista stvar ko i drugi
4. provjerava phpbb cookie
5. provjerava jel user agent ima sljedeci string kojim se identificira worm

ako je ijedan od prethodnih conditiona matchnut ne rewritea ga nigdje neko mu salje forbidden header (flag F) i kaze da je to zadnje pravilo (flag L)

mislim da nisma puno fulao, nisam neki expert kaj se tice regexpa pa ako sam nesto krivo napisao neka me netko ispravi :)

more info here - http://httpd.apache.org/docs/mod/mod_rewrite.html#RewriteCond

_________________
UP | TypeTester | Accommodations App
Meni u Firefox-u ne radi AJAX
Back to top
View user's profile Send private message Visit poster's website
bj__



Joined: 09 Nov 2004
Posts: 65
Location: Karlovac

PostPosted: 13.01.2005 12:17    Post subject: Add user to your forum ignore list Reply with quote

thanks...
Back to top
View user's profile Send private message Twitter profile
Display posts from previous:   
This forum is locked: you cannot post, reply to, or edit topics.   This topic is locked: you cannot edit posts or make replies.    mi3dot.org Forum Index -> Prijava bugova All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum


Powered by phpBB © 2001, 2005 phpBB Group