Santy.B et PhpInclude.Worm

Publié par j0k3r_n0ir le 29 Décembre 2004 à 20:45. Lu 2929 fois

Et bien en cette fin d'année, PHP n'est pas aimé des programmeurs de virus.
La semaine dernière, Santy.A (lien externe) commencait les ravages sur les forums phpBB en utilisant le moteur de recherche Google pour trouver ces vitimes. Google a vite bloqué les requetes du virus (lien externe).

Et voici qu'une deuxième version de Santy, Santy.B viens de voir le jour utilisant les moteurs de recherche d'AOL et de Yahoo.
Evidemment il est toujours recommandé de passer à la version 2.0.11 (lien externe) de phpBB pour éviter tout problème.

Passons maintenant au tout nouveau PhpInclude.Worm* qui recherche (via Google/Yahoo/AOL) des serveurs web dont les pages PHP utilisent les fonctions "include()" et "require()" de façon non-sécurisée.
Une fois les sites trouvés, il teste différentes possiblités pour exploiter cette faille (qui n'est pas une faille de PHP lui même mais plutôt une faille du programmeur) puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies contrôlées par un groupe de pirates brésiliens.

Pour ce protéger, il faut "PHP/PHP-Security-Mistakes/" class="postlink external">filtrer (lien externe)" les paramètres que l'on envoie à ces fontions (si ils sont dynamiques) sinon il faut passer des paramètres directement en dur.

* Ce ver est détecté par certains antivirus comme étant la variante C ou E de Santy. Ce ver étant totalement différent de la famille Santy (la seule similitude réside dans l'utilisation des moteurs de recherche), l'alias générique "PhpInclude.Worm" lui a été attribué (De nouveaux alias ont déjà vu le jour : Perl.PhpInlude.Worm, Perl.Spyki, Perl.Lexac).