Webworm Santy et compagnie ...
Publi� le 30 décembre 2004

En deux jours, ce nouveau virus-ver a défiguré près de 40.000 sites web dans le monde. Pour cibler ses victimes, des serveurs web qui utilisent le programme phpBB, Santy repère leur adresse URL en interrogeant Google.

Un nouveau virus-ver a attiré l'attention des experts en sécurité. Baptisé Santy (alias Perl.Santy.a), il ne présente aucun danger pour l'utilisateur final, puisqu'il cible uniquement les serveurs web.

Santy a été conçu pour défigurer des sites web, en remplaçant les pages qui les composent par le message : « This site is defaced !!! » ("ce site a été défiguré"). Ce virus a plutôt bien réussi son entreprise : depuis son apparition le 21 décembre, il a modifié l'aspect de quelque 40.000 sites dans le monde. advertisement Il ne s'attaque qu'aux serveurs web utilisant le programme à code source ouvert "phpBB", qui permet la création et l'administration de forums pour les sites réalisés au moyen du langage PHP. À noter que la grande majorité de ces serveurs opèrent sous les systèmes d'exploitation Unix ou GNU/Linux, et dans une plus faible mesure Windows, qui n'est donc, pour une fois, pas visé par un créateur de virus.

Une faille pourtant corrigée depuis fin novembre

La faille dans phpBB est corrigée depuis le 18 novembre mais bon nombre de serveurs étaient manifestement encore vulnérables ; leur administrateur doivent donc installer la version 2.0.11 de phpBB.

L'originalité de Santy réside dans sa manière de trouver les serveurs équipés de phpBB. « Plutôt que de scanner des adresses IP à la volée, il utilise le moteur de recherche Google », indique à ZDNet Damase Tricart, chef de produit chez l'éditeur antivirus Symantec France. Concrètement, il lance des requêtes afin de trouver des URL intégrant la mention "viewtopic.php", qui est la marque des serveurs web utilisant le logiciel phpBB.

Une fois la liste des serveurs établie, Santy se transfère sur les machines en exploitant la faille de phpBB, puis il écrase toutes les pages aux extensions ".htm", ".php", ".asp", ".shtm", ".jsp" and ".phtm", en les remplaçant donc par son message de victoire.

Pour vous épargner quelques soucis, il suffit s'insérer le script suivant au début de votre code d'affichage de page :


$bad_uri_content
="rush,highlight,perl,chr(,pillar,visualcoder,sess_,hotusa.org";

global
$REQUEST_URI;
$tmp=explode(",",$bad_uri_content);
while(list(
$id,$uri_content)=each($tmp)) {
   if (
strpos($REQUEST_URI,$uri_content)) {
      
header('HTTP/1.0 500 Internal Server Error');
       exit;
   }
}

Simple non ?