- Μηνύματα
- 3.086
- Reaction score
- 663
PHP/Santy.A.worm: Ένα Worm για phpBB Servers
Το εργαστήριο της Panda Software (PandaLabs) ανίχνευσε την εμφάνιση στο Internet ενός νέου worm γραμμένου σε Perl με όνομα PHP/Santy.A.worm, το οποίο άρχισε να διαδίδεται πολύ γρήγορα.
Αυτός ο εχθρικός κώδικας χρησιμοποιεί την μηχανή αναζήτησης Google για τον εντοπισμό servers οι οποίοι εκτελούν την δημοφιλή εφαρμογή υποστήριξης φόρουμ, ομάδων συζητήσεων, blog, κ.λ.π., phpBB σε εκδόσεις παλαιότερες της 2.0.11 και χωρίς το λογισμικό διόρθωσης του τρωτού σημείου viewtopic.php, το οποίο ανακαλύφθηκε στις 15 Νοεμβρίου.
Το λογισμικό διόρθωσης αυτού του τρωτού σημείου είναι διαθέσιμο από την διεύθυνση http://www.phpbb.com/phpBB/viewtopic.php?t=240513. Μόλις εντοπίσει έναν τρωτό server, το worm εκμεταλλεύεται το τρωτό σημείο Remote URLDecode Input Validation του phpBB για να επιτύχει πρόσβαση στον web server εξ αποστάσεως. Μόλις αποκτήσει πρόσβαση, διατρέχει τους διάφορους φακέλους του server αντικαθιστώντας τα αρχεία με επέκταση .asp, .htm, .jsp, php, .phtm, ή .shtm και εγκαθιστώντας στην θέση καθενός απ' αυτά μία σελίδα η οποία εμφανίζει το μήνυμα:This site is defaced!!!NeverEverNoSanity WebWorm generation X. Στο μήνυμα, το "x" αντιπροσωπεύει τον αριθμό των μολύνσεων που έχει επιτύχει ο νέος ιός.Αυτό το worm επηρεάζει μόνο servers και διαδίδεται μόνο μεταξύ server. Συνεπώς, οι απλοί χρήστες δεν επηρεάζονται. Οι απλοί χρήστες δεν πρόκειται επίσης να πάθουν τίποτα εάν επισκεφτούν σελίδες μολυσμένες από το worm.
Δεδομένου ότι το τρωτό σημείο που εκμεταλλεύεται το worm βρίσκεται στο επίπεδο εφαρμογών, μπορεί να επηρεαστούν web servers τόσο με τα Windows, όσο και με το Linux. Εάν το worm συνεχίσει να διαδίδεται σε μεγάλη κλίμακα, είναι πιθανό ορισμένες υπηρεσίες του Internet να επιβραδυνθούν, ή ακόμη και να καταρρεύσουν.
Για την αποτροπή μολύνσεων από το PHP/Santy.A.worm ή νέες παραλλαγές του, η Panda Software συμβουλεύει τους χρήστες να λάβουν σοβαρά μέτρα προφύλαξης και να ενημερώσουν το πρόγραμμα antivirus που χρησιμοποιούν. Η εταιρεία παρέχει σε όλους τους πελάτες της τις κατάλληλες ενημερώσεις για την ανίχνευση και εξουδετέρωση αυτής της νέας μορφής εχθρικού κώδικα.
Aπό το E-GO.GR
Το εργαστήριο της Panda Software (PandaLabs) ανίχνευσε την εμφάνιση στο Internet ενός νέου worm γραμμένου σε Perl με όνομα PHP/Santy.A.worm, το οποίο άρχισε να διαδίδεται πολύ γρήγορα.
Αυτός ο εχθρικός κώδικας χρησιμοποιεί την μηχανή αναζήτησης Google για τον εντοπισμό servers οι οποίοι εκτελούν την δημοφιλή εφαρμογή υποστήριξης φόρουμ, ομάδων συζητήσεων, blog, κ.λ.π., phpBB σε εκδόσεις παλαιότερες της 2.0.11 και χωρίς το λογισμικό διόρθωσης του τρωτού σημείου viewtopic.php, το οποίο ανακαλύφθηκε στις 15 Νοεμβρίου.
Το λογισμικό διόρθωσης αυτού του τρωτού σημείου είναι διαθέσιμο από την διεύθυνση http://www.phpbb.com/phpBB/viewtopic.php?t=240513. Μόλις εντοπίσει έναν τρωτό server, το worm εκμεταλλεύεται το τρωτό σημείο Remote URLDecode Input Validation του phpBB για να επιτύχει πρόσβαση στον web server εξ αποστάσεως. Μόλις αποκτήσει πρόσβαση, διατρέχει τους διάφορους φακέλους του server αντικαθιστώντας τα αρχεία με επέκταση .asp, .htm, .jsp, php, .phtm, ή .shtm και εγκαθιστώντας στην θέση καθενός απ' αυτά μία σελίδα η οποία εμφανίζει το μήνυμα:This site is defaced!!!NeverEverNoSanity WebWorm generation X. Στο μήνυμα, το "x" αντιπροσωπεύει τον αριθμό των μολύνσεων που έχει επιτύχει ο νέος ιός.Αυτό το worm επηρεάζει μόνο servers και διαδίδεται μόνο μεταξύ server. Συνεπώς, οι απλοί χρήστες δεν επηρεάζονται. Οι απλοί χρήστες δεν πρόκειται επίσης να πάθουν τίποτα εάν επισκεφτούν σελίδες μολυσμένες από το worm.
Δεδομένου ότι το τρωτό σημείο που εκμεταλλεύεται το worm βρίσκεται στο επίπεδο εφαρμογών, μπορεί να επηρεαστούν web servers τόσο με τα Windows, όσο και με το Linux. Εάν το worm συνεχίσει να διαδίδεται σε μεγάλη κλίμακα, είναι πιθανό ορισμένες υπηρεσίες του Internet να επιβραδυνθούν, ή ακόμη και να καταρρεύσουν.
Για την αποτροπή μολύνσεων από το PHP/Santy.A.worm ή νέες παραλλαγές του, η Panda Software συμβουλεύει τους χρήστες να λάβουν σοβαρά μέτρα προφύλαξης και να ενημερώσουν το πρόγραμμα antivirus που χρησιμοποιούν. Η εταιρεία παρέχει σε όλους τους πελάτες της τις κατάλληλες ενημερώσεις για την ανίχνευση και εξουδετέρωση αυτής της νέας μορφής εχθρικού κώδικα.
Aπό το E-GO.GR
