Червь атакует уязвимые phpBB-серверы

Вебпланета

≡ Архив | архивная статья | 22.12.2004 13:12

Совсем недавно PHP/Santy.A.worm, новый сетевой червь, написанный на Perl, появился в интернете и стал быстро распространяться, сообщает Panda Software.

Этот вредоносный код использует Google для выполнения массовых поисков серверов, на которых запущено популярное приложение phpBB, используемое для форумов, групп новостей, дневников и т.п. версий, более ранних, чем 2.0.11, без заплатки, защищающей от уязвимости viewtopic.php, которая была обнаружена 15 ноября.

Заплатку, закрывающую данную уязвимость можно скачать здесь.

После того как червь обнаруживает подходящий сервер, он использует уязвимость для проверки правильности входных данных при удаленном выполнении функции URLDecode для того, чтобы получить удаленный доступ к веб-серверу. После получения доступа он сканирует различные директории, переписывая файлы с расширениями .asp, .htm, .jsp, php, .phtm и .shtm и устанавливая на месте каждого страницу, выводящую следующее сообщение:

«This site is defaced!!! NeveEverNoSanity WebWorm generation X.»

В сообщении, ‘X’ варьируется в зависимости от количества заражений, который способен выполнить вирус.

Этот червь влияет только на серверы и распространяется только между ними. Пользователи форумов не подвергаются опасности. Пользователи также не будут заражены в случае посещения ими страниц, которые были инфицированы червем. Учитывая, что данная уязвимость оперирует на уровне приложений, могут быть затронуты веб-серверы с операционными системами Windows и Linux.

В случае продолжения распространения червя в крупных масштабах присутствует возможность замедления сервисов интернет и даже их падения.

комментарии(0)

разделы: Архив