IT Ligentia Site sur la veille et l'e-réputation et le webmarketing
L’aparition du ver Santy a déffrayé la chronique. Profitant de failles de sécurité sur les forums php, Santy utilise les moteurs de recherche pour trouver ses victimes et défigurer la page d’acceil des sites.
Santy.A a commencé à opérer en début de semaine dernière, en choississant ses victimes par Google. Quelques heures plus tard, Google protégea partiellement l’accès à ces sites en refusant les requêtes de Santy.
« The worm, dubbed Santy.A, uses a vulnerability in a popular free software package called phpBB to spread across the Internet, infecting computer servers that host online bulletin boards and defacing those sites with the words « This site is defaced!!! NeverEverNoSanity WebWorm. »
Santy.B, quant à lui, utilise le moteur de recherche AOL, qui se sert des résultats de Google. L’effet en est donc limité. Mais Santy.B utilise aussi le moteur de Yahoo, qui lui, n’a pas encore trouvé de parade. De plus, l’affaire Santy n’en reste pas là …
Apparu juste après, Santy.C a de nouveau utilisé Google afin d’atteindre les sites PhP.
« Egalement programmé en Perl, Santy.C ou E (selon les éditeurs, K-Otik estime qu’il n’appartient pas à la même famille) s’attaquerait à tous les sites contenant des pages PHP vulnérables à la faille « include/require » afin d’y installer un IRC-Bot contrôlé par des pirates.
Il exploite une palette plus large de failles dites « de programmation » selon K-Otik. Et d’expliquer: Ces fonctions sont normalement utilisées par les programmeurs afin d’inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l’inclusion et l’exécution de fichiers externes, et donc la compromission du serveur web.
Le ver recherche donc des pages du type « *.php?*= », puis tente d’y insérer différentes commandes permettant l’installation de robots IRC et la constitution d’une armée de machines z » (Silicon.fr)
Santy.E, quant à lui, s’attaque de manière plus générale aux programmes Php. Se comportant à peu près comme Santy.C, Santy.E est très différent de la version A.
« Worm in its advisories, the company said yesterday. The worm doesn’t exploit the vulnerabilities in phpBB targeted by its predecessor, instead aiming for a wider range of common programming errors in PHP Web pages. It uses search engines including Google, Yahoo and AOL to identify exploitable Web pages written in PHP that use the functions « include() » and « require() » in an insecure manner, K-OTik said. » (ComputerWorld)
Enfin, un nouveau ver ressemblant à Santy fait son apparition, PhpInclude.Worm, qui est potentiellement dangereux.
Une semaine de fin d’année très agitée pour tous les programmeurs et les webmasters !
