Nouvelle variante de Santy ou nouveau ver ?
Le site de sécurité K-Otik l'appelle PhpInclude.Worm et certains logiciels ...
Le site de sécurité K-Otik l'appelle PhpInclude.Worm et certains logiciels antivirus le reconnaissance comme variante du ver Santy et l'appellent Santy.C ou E. Il n'attaque en tout cas pas les sites de la même manière que Santy.A et n'exploite pas les failles de phpBB.
Il exploite des failles de programmation et recherche via les moteurs de recherche des pages web programmées en php et contenant les fonctions "include()" et "require()". K-Otik explique que ces fonctions sont utilisées pour inclure des pages web qui sont spécifiées en arguments. Si ces derniers ne sont pas correctement vérifiés, il y a un risque de pouvoir exécuter des fichiers externes et donc mettre en danger l'intégrité du serveur.
Une fois les pages repérées, le ver injecte des commandes pour permettre l'installation de robots IRC et tente de mettre en place une armée de zombies, puisque c'est la finalité de la plupart de ces attaques.
Attention, les failles de ces pages PHP ne dépendent d'aucun système d'exploitation ou encore d'aucune version de PHP même. L'attaque est marquée au fer rouge par K-Otik qui juge le risque comme élevé. Vous pouvez vous rendre sur cette page (lien en rouge) pour y trouver plus de détails.
Il exploite des failles de programmation et recherche via les moteurs de recherche des pages web programmées en php et contenant les fonctions "include()" et "require()". K-Otik explique que ces fonctions sont utilisées pour inclure des pages web qui sont spécifiées en arguments. Si ces derniers ne sont pas correctement vérifiés, il y a un risque de pouvoir exécuter des fichiers externes et donc mettre en danger l'intégrité du serveur.
Une fois les pages repérées, le ver injecte des commandes pour permettre l'installation de robots IRC et tente de mettre en place une armée de zombies, puisque c'est la finalité de la plupart de ces attaques.
Attention, les failles de ces pages PHP ne dépendent d'aucun système d'exploitation ou encore d'aucune version de PHP même. L'attaque est marquée au fer rouge par K-Otik qui juge le risque comme élevé. Vous pouvez vous rendre sur cette page (lien en rouge) pour y trouver plus de détails.
Source :
K-Otik
Vincent_H
le 27 décembre 2004 à 09:43
(3 305
lectures)
Actualités et brèves relatives
- 22 / 12 / 2004 : Un nouveau virus pour les téléphones portables
- 22 / 12 / 2004 : Ver Santy : six millions de forums en danger
- 15 / 12 / 2004 : Virus : De très mauvais voeux de Noël
- 07 / 12 / 2004 : Un disque de démo sur PS2 qui efface les memory card
- 29 / 11 / 2004 : La publicité en danger à cause de la faille IFRAME ?
- 08 / 11 / 2004 : Une vraie fausse vidéo de Ben Laden
- 01 / 11 / 2004 : Virus : une nouvelle variante de Bagle
- 29 / 10 / 2004 : Red Hat Linux : un Trojan sous la fausse mise à jour
- 25 / 10 / 2004 : Renopa-A, un ver utilisant le shell de MacOS X
