Malware-Ausbruch: Net-Worm.Perl.Santy.a

Dieses Thema im Forum "Ihre Meinung zu Artikeln auf pcwelt.de" wurde erstellt von MaxMaster, 22. Dezember 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. MaxMaster

    MaxMaster Registrierter Benutzer

    Registriert seit:
    13. Oktober 2003
    Beiträge:
    92
    -kein Text
     
  2. MCSE-MCT

    MCSE-MCT Halbes Megabyte

    Registriert seit:
    5. Juli 2004
    Beiträge:
    876
    Wer hat die *Ehre* den Wurm zu taufen? *grübel*

    [​IMG] PLUS [​IMG] GLEICH "Net-Worm.Perl.Santy.a"
     
  3. MCSE-MCT

    MCSE-MCT Halbes Megabyte

    Registriert seit:
    5. Juli 2004
    Beiträge:
    876
    Sehe ich auch so. - Also nennen wir ihn Net-Worm.Deface.Perl.c

    Zumal die Kasperskies Popen und keine Santies haben :D
     
  4. MCSE-MCT

    MCSE-MCT Halbes Megabyte

    Registriert seit:
    5. Juli 2004
    Beiträge:
    876
    Ja ja.

    > *push* Interessiert es niemanden?

    Natürlich interessiert sich niemand dafür. Wer sucht schon Malware nach katalogisierten Eigenschaften? Firma A nennt das Würmchen Hupsi, Firma B nennt ihn Stupsi. Und da beide Eigenkreationen sind, gibt es kein allgemeines Workaround / Suchen.

    Stattdessen wird nach *verbessertem* Schlangenöl geschrien. Den entscheidenen Schritt (Sicherheit ist zuerst eine Frage des Bewusstseins) vollzieht hier niemand. Da wird *etwas* installiert...


    Ja. *push*... - Da hast Du Recht.
    [​IMG]_______________Frohe Weihnachten_______________[​IMG]
     
  5. MCSE-MCT

    MCSE-MCT Halbes Megabyte

    Registriert seit:
    5. Juli 2004
    Beiträge:
    876
    ________________________________________________________________(noch 7)
    *Es* hat Anstand. - Kaputte Suchfunktion, Redaktion keine Reaktion,... kein Ruhm, keine Ehre. Wahrscheinlicher ist das Fehlen eines gültigen Kontos bzw. das Anlegen ein Problem. Du meinst, MCSE-MCT sollte sein PW veröffentlichen, damit zumindest eine manuelle Chance für PHP-Exploits besteht oder *abschliessend* PHP-Exploits ausführen?

    Unabhängig davon ist Dir aber klar, dass Du eine schlichte Anfrage *gefickt geschädelt* hast?!
    [​IMG]_______________Frohe Weihnachten_______________[​IMG]
     
  6. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Wenn ich mir die Liste der betroffenen PHP-Befehle so ansehe, scheint das Problem wieder einmal weniger eins von PHP zu sein. Zwar führen die Befehle zum Pufferüberlauf, dass können sie aber nur, wenn sie mit ungültigen Werten gefüttert werden. Da sich aber alle Befehle von extern nicht nutzen lassen, sind wohl mal wieder die Entwickler der verschiedenen Scripte schuld, die einmal mehr externe Eingaben ungeprüft als vertrauenswürdig weiter verwenden.

    Beispiel phpbb-Code - selbst wenn man den Code wie empfohlen in

    $words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

    abändert, ist doch die per GET übermittelte Variable $HTTP_GET_VARS['highlight'] immer noch inhaltlich ungeprüft und landet trotzdem im vertrauenswürdigen Feld $words. Nun muss man nur noch wissen, mit welchen Befehlen $words im Script weiter verwendet wird. Der Schadcode selbst kommt ja unbehelligt durch $words ins System. In dem Beispiel muss man nur dafür sorgen, dass einige Zeichen maskiert sind, um beim explode() und htmlspecialchars() nicht verändert bzw. auseinandergerissen zu werden.

    Gruss, Matthias
     
  7. kalweit

    kalweit Hüter der Glaskugel

    Registriert seit:
    18. April 2000
    Beiträge:
    31.487
    Nicht wirklich...


    ...und man muss die Problematik überhaupt erst mal verstehen - viele Programmierer werden nicht den blassesten Schimmer davon haben. Selbst wenn, übersieht man noch mehr als genug.

    Gruss, Matthias
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen