Une nouvelle forme de malware, les webworms

Le par  |  7 commentaire(s)

Il y a quelques temps déjà, nous baptisions 2004, l'année de la sécurité PC.

Il y a quelques temps déjà, nous baptisions 2004, l'année de la sécurité PC.

Les quelques mois passés depuis ce baptème en fanfare n'ont fait que justifier au quotidien, encore et encore, cette appellation.

Il semble aujourd'hui qu'avec quelques jours d'avance nous pouvons, sans complexes, baptiser 2005, l'année de la sécurité Web.

 

Si vous êtes un minimum au courant de l'actualité de la toile, et je ne doute pas que vous l'êtes, un détail ne vous a surement pas échappé. : près de quarante-mille sites web ont été défacés !

La faute à qui ' ou plutôt à quoi ' Car, pour une fois, il ne s'agit pas là de l'oeuvre d'un pirate, mais bien de celle d'un programme, qui, nous n'en doutons pas, est effectivement, lui, l'oeuvre d'un pirate. Ce programme est un ver. Ou plus exactement, un ver de toile (webworm en anglais).

Baptisé Santy.A, le ver recherche au moyen de Google un forum phpBB 2.0.11 non mis à jour. Une fois un tel forum trouvé, le ver s'installe sur le serveur (indifféremment de l'OS installés, apparemment) hébergeant le forum en exécutant du code arbitraire grâce à la faille qui touche la page viewtopic.php.

Une fois installé dans son nid douillet, le ver mange et digère les pages dont l'extension est ASP, HTM, PHP, PHTM et SHTM. Il produit ensuite une déjection HTML mal odorante. Son activité a pour conséquence le ralentissment du serveur et de la consommation de bande passante (en plus du defacage des sites hébergés par le serveur).

 

Je sais parfaitement ce que vous vous appréter à me dire, Google a bloqué les requêtes de Santy.A.

Oui, c'est vrai les techniciens et ingénieurs de Google, et on les remercie, ont identifié et bloqué les requêtes en provenance du ver Santy.A empéchant ainsi sa propagation. Une maigre statisfaction pour les webmestres des sites déjà sinistrès.

Toutefois, le code source de Santy.A ayant été publiés, de nouvelles versions apparaissent à l'heure où ces lignes sont écrites. Santy.C, .E ...

Ces nouveaux venus rendent automatique l'exploitation de failles comme par exemple php include.

Ils se servent cette fois des moteurs de recherches d'AOL et de Yahoo pour rechercher non plus des fora, mais toutes pages PHP vulnérables. Free en a fait les frais deux fois de suite la nuit de Noël.

 

Relisez donc votre code, mettez à jour celui de vos applications web, il n'y a pas de conseils plus sages, parmi les temps qui courent.

Attention toutefois à ne pas conclure qu'un site défacé est un site mal programmé ! En effet, le ver rentre par un site vulnérable mais attaque ensuite par le biais du serveur lui-même tout les sites hébergés.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #26905
ralala ces crackers savent plus quoi inventer
Le #26913
....ont identifié et bloqué...
vais faire une faq sur la différence entre un participe passé et un infinitif...
Le #26914
n'importe quoi...free n'a pas été victime d'un webworm..
Le #26917
Le message joyeux Noëm n'était pas l'oeuvre d'un ver de toile en effet. Mais quelques heures après il y'en a eu un autre. Caractérisitque lui ...
Le #26920
Il vont nous sortir quoi aprés des vers de table'


Ok je sors -->
Le #26941
le pire c'est que il est facile d'accès ce code source, un noob comme moi a su le trouver en 2 minutes de google (a google quand tu nous tiens et c'est un virus tout simple écrit en perl... ça affiche sur les sites infectés en rouge sang sur fond noir : This site is defaced!!!
NeverEverNoSanity WebWorm generation

pfff on assiste a la déchéance du net, la LEN nous tue nos droits et les auteurs de virus ne cherchent qu'a faire du mal...

"Attention toutefois à ne pas conclure qu'un site défacé est un site mal programmé ! En effet, le ver rentre par un site vulnérable mais attaque ensuite par le biais du serveur lui-même tout les sites hébergés." ==> pas si vrai que ça ! un serveur linux (non je ne veux pas créér de polémique windows/linux, windows aussi est protégé sur les différents users, mais je ne me prononce pas ne connaissant pas le fonctionnement d'un serveur windows du tout) a moins d'être mal configuré interdit l'accès des fichiers d'un site a un site voisin du serveur
Le #26945
les rootkits existent, les trucs mal protégés aussi etc etc...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]