Le ver Santy.A

Le par  |  7 commentaire(s)

Votre serviteur attribuait le prix du " Connard du jour " hier ici à un indélicat qui  attaquait  les serveurs PHP grâce au ver Santy.

Votre serviteur attribuait le prix du " Connard du jour " hier ici à un indélicat qui  attaquait  les serveurs PHP grâce au ver Santy.A., identifié.

Ce nouveau fléau s' en prend aux forums PHP BB et se répand sur le réseau des réseaux pour infecter d' autres serveurs de même type.

Sans entrer dans les détails techniques qui ne préoccupent que les administrateurs serveurs comme

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #26529
C'est mat21 qui va encore me taper
Le #26532
quels sont les symptomes exacts svp'
Le #26535
Ce vers est quand meme baleze pour chercher ses victimes par google... mais c'est une belle salete

> il n'y a qu'un symptome : au lieu de t'afficher ton forum, ton serveur t'affichera une âge en nopir et rouge comme quoi tu as été hacké...
Le #26545
Plusieurs webmasters on vu arriver dans leur bal des mails d'une soi disante société de veille antivirale leur demandant de leur transmettre les fichiers infectés zippés avec mot de passe (peut etre pour faire plus sérieux). Ces fichiers devaient théoriquement revenir nettoyés. De mon côté, je n'ai pas pris le risque de répondre à ce mail qui ressemble plus à un canular ou à une arnaque qu'autre chose. Méfiance si vous recevez ce mail....
Le #26563
" Ce vers est quand meme baleze pour chercher ses victimes par google". Il n'y a rien de compliqué à ça :
my $startURL = 'http://www.google.com/search'num=100&hl=en&lr=&as_qdr=all' . '&q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] . '%3D' . int(rand(30000)) . '%22&btnG=Search';

avec my @ts = qw/t p topic/;
Apres il ne reste plus qu'a parser les resultats de la page ;o) Pas trop compliqué !!

D'ailleurs quand on essaye la requete sur google, c'est marrant il repond par un "403 Forbidden" et que tu es infecté et que la requete est bloquee.
Le #26565
Ils ont du lever l'interdiction chez google, parce qu'ici, ça marche
Le #26567
Je viens de remarquer que google france ne filtrait pas la requete !
Comme d'habitude, la requete est beaucoup trop statique, donc ils ont mis en place un seul filtre... La requete que le pirate a codé est beaucoup trop facile à repérer... le blaireau... Quand on code un truc comme ca, la regle est de ne laisser aucune empreinte ou un minimum !!

le random devrait etre fait sur :
- la langue qw/fr en de.../;
- le allinurl peut se jouer avec ou sans ou juste inurl : qw/allinurl inurl/;
- integration du meta= ou pas a la fin...
- pareil sur le num et sa valeur ...
- ajout d'espace entre le viewtopic.php et le + et la suite ....

Amis pirate faite un effort, c'est quoi ce travail baclé '
... humour ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]