|
Written by Dylek
|
|
23 Gru 2004, 20:56 |
21 grudnia pojawił się w sieci nowy robak - Santy. Rozprzestrzenia się
poprzez błąd w phpBB. Szacuje się, że dotychczas zainfekował ponad 40
tys. komputerów.
Santy wykorzystuje lukę w phpBB - popularnym darmowym pakiecie służącym
m.in. do tworzenia forów dyskusyjnych. Błąd ten, dotyczący wersji do
2.0.10, opublikowany został w listopadzie, jednak do tej pory bardzo
wiele systemów nie zostało załatanych. Dotyczy on funkcji urldecode i
poprzez SQL Injection umożliwia wykonanie na atakowanym komputerze
dowolnego kodu php.
Robak napisany jest w perlu. Jego działanie polega na wyszukaniu
poprzez Google serwerów na których obecny jest plik viewtopic.php.
Następnie robak rozpoczyna atak na komputery z tak wygenerowanej listy.
W przypadku sukcesu, nadpisuje pliki z rozszerzeniami asp, htm, jsp,
php, phtm i shtm tekstem: This site is defaced!!! NeverEverNoSanity
WebWorm generation X.
Jakkolwiek użytkownicy najpopularniejszej wyszukiwarki internetowej nie
są bezpośrednio podatni na atak, Google na wniosek firm produkujących
oprogramowanie antywirusowe wprowadziło blokady zapytań kierowanych
przez robaka.
Serwery korzystające z mechanizmów phpBB powinny zostać jak najszybciej
załatane. Nawet w przypadku wygasania działalności robaka, są one wciąż
podatne na exploity, które są łatwo dostępne w sieci.
Uaktualnienia phpBB (do wersji 2.0.11) dostępne są pod tym adresem. O
robaku Santy przeczytać można m.in. w biuletynie US CERT i w opisie
firmy Symantec.
Źródło informacji: Serwis hacking.pl |
|
Last Updated ( 26 Gru 2004, 10:11 )
|
Archiwum 
