[RC] Anti-Net-Worm.Perl.Santy

[Xpert]

Код: Выделить всё

############################################################## 
## MOD Title: 		Anti-Net-Worm.Perl.Santy 
## MOD Author:	 	Xpert < xpert@phpbbguru.net > http://www.phpbbguru.net 
## MOD Description: 	This mod will protect your community from generationg heavy traffic
##			while worms' vulnerabibities scanning.
## MOD Version: 	1.1.0 
## 
## Installation Level: 	Easy 
## Installation Time: 	1 Minute 
## Files To Edit (1): 	common.php
##			
## Included Files (0): 	(n/a)
############################################################## 
## For Security Purposes, Please Check: http://www.phpbbguru.net/mods/ for the 
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code 
## to enter into your phpBB Forum. As such, phpBB will not offer support for MOD's not offered 
## in our MOD-Database, located at: http://www.phpbbguru.net/mods/ 
############################################################## 
## Author Notes:
##
## Everyone knows that phpBB 2.0.10 contains "highlight vulnerability" and there is
## a number of exploits for this version and a number of worms that use the vulnerability.
## When the worm starts to scan your community, it may cause heavy load & big traffic.
## I've got such a problem and i hope the solution is here.
##
## Special thanks to chyduskam < chuduskam@debilarius.ru > for his help while developing this mod.
##
############################################################## 
## MOD History:
##
##   2004-12-28 - Version 1.1.0 
##      - Changed strpos to strstr because it's more universal
##	  Thanks to The_Master  
##
##   2004-12-28 - Version 1.0.0 
##      - Initial Release 
## 
############################################################## 
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD 
############################################################## 

# 
#-----[ OPEN ]------------------------------------------ 
# 
common.php

# 
#-----[ FIND ]------------------------------------------ 
# 

//
// addslashes to vars if magic_quotes_gpc is off

# 
#-----[ BEFORE, ADD ]------------------------------------------ 
# 

// [begin] Anti-Net-Worm.Perl.Santy mod
if ( strstr(urlencode($HTTP_GET_VARS['highlight']), '%2527') != FALSE )
{
	die('Anti-Net-Worm.Perl.Santy mod');
}
// [end] Anti-Net-Worm.Perl.Santy mod

# 
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------ 
# 
# EoM

Мод предназначен для защиты от червей, эксплуатирующих критическую уязвимость, обнаруженную в phpBB версии 2.0.10. Оборотная сторона действия данных червей - даже если форум у вас обновлен и все уязвимости закрыты, сканирование, которое произвдит червь, способно вызвать большую нагрузку на сервер и (возможно) перерасход трафика. Данный мод проверяет входные данные, и если они кажутся ему подозрительными, скрипт прекращает свою работу; делается это на самом раннем этапе и поэтому относительно исходного варианта нагрузка минимальна.

[The-eBook]

То есть, если идет запрос на выполнение "ложной" строки, то ты заставляешь просто вываливаться из текущей конструкции? Я правильно понимаю?

[Xpert]

The-eBook
Я завершаю скрипт на ранней стадии его выполнения. Если этого не сделать, нагрузка на сервер довольно приличная, сравнить можно с небольшой DDoS-атакой. Собственно, у нас у самих возникли проблемы с нагрузкой, отсюда и мод.

[The-eBook]

Xpert, дай Бог тебе здоровья!

[YarNET]

Xpert, как происходит определение входных данных, т.е. классификация на "верные" и "подозрительные"?

[The-eBook]

Наверно через urlencode

[Vladson]

на phpBB.com есть мод гараздо проще, и работающий не хуже
на Securitylab есть совет анаогично проще, тоже работающий
на этом же форуме есть вариант с htaccess опять же работающий

Паника вызванная этим червём переходит границы...
Кто хочет защититься тот защитится и без этого мода а кто не знает о нём тот или уже попался или ещё попадётся, и этот мод их не спасёт...

(сорри если кого обидел, просто пытаюсь быть объективным)

[Xpert]

YarNET
Если в запросе есть %2527, это проверка на наличие дыры с highlight. Вот такие запросы и генерируют черви.

Vladson
Никакой паники, просто лишняя нагрузка на сервер мне ни к чему. (Нас уже один раз отключили за ее превышение, причем нагрузку вызвали именно попытки обращений червей.)

[Егор Наклоняев]

Паника вызванная этим червём переходит границы

Да никакой паники. Мне вот еще сказали, что журнал для домохозяек "Хацкер" опубликовал статейку как ломать форумы на phpBB. Так что глядишь вторая волна пойдет доморощенных кулхацкеров.

Специально для них в этом моде я написал вместо аглицких словей вполне понятное классическое высказывание Фаины Раневской, о том куда надо проследовать пионэрам.

[Егор Наклоняев]

Заменить

Код: Выделить всё

if ( strstr(urlencode($HTTP_GET_VARS['highlight']), '%2527') != FALSE ) 

на

Код: Выделить всё

if ( isset($HTTP_GET_VARS['highlight']) && (strstr(urlencode($HTTP_GET_VARS['highlight']), '%2527') != FALSE) ) 

и релизить. Нечего ему тут болтаться

[lexa77]

Драсти у меня проблема блин, с этими червями грузят сервер не по детски предупреждения от хостера приходят, в общем мод работает но если в запросе поставить точку - то время запроса увеличивается серьёзно.

Идеи ?

[Siava]

lexa77
А точку зачем ставить?

P.S.
Поставьте Cracker Tracker Mod
Ссылка на ветку обсуждения мода
Ссылка откуда можно скачать последнюю версию

[lexa77]

lexa77
А точку зачем ставить?

P.S.
Поставьте Cracker Tracker Mod
Ссылка на ветку обсуждения мода
Ссылка откуда можно скачать последнюю версию

Он у меня и стоит, но сильно долго думает пока поймает, в итоге большая нагрузка, этот мод раньше ловит, проверял.
а точку не я ставлю а черви
t=418&postdays=0&postorder=asc&highlight=%27.system($_get[cmd]).include%27&start=0

[Xpert]

Тоже стоит Cracker Tracker, проанализирую запросы и посмотрю что можно сделать. Сейчас говорят новое пришествие этого червя...

[lexa77]

Xpert
всё сегодня хостер отключает сасем если ничего не сделаю ставлю новый с нуля форум посмотрим.