juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux
installations de phpBB non patchées. Le moteur de recherche de MSN
recense 30.000+ forums hackés.
Liste de forums piratés :
http://beta.search.msn.com/results.aspx?q=%22This+site+is+defaced%21%21%21%22+NeverEverNoSanity
Le ver est un programme Perl d'environ 220 lignes. L'accès à Google ne
se fait pas via la Google API, mais en parsant les résultats de requêtes
faites "à la main" (ie. comme un browser). Les différentes instances du
ver essaient de scanner des sites "au hasard", via ce code :
my @ts = qw/t p topic/;
my $startURL = 'http://www.google.com/search?num=100&hl=en&lr=&as_qdr=all' .
'&q=allinurl%3A+%22viewtopic.php%22+%22' . $ts[int(rand(@ts))] .
'%3D' . int(rand(30000)) . '%22&btnG=Search';
En cas de compromission, de nombreux fichiers (*.htm*, *.php*,
*.asp*, *.shtm*, *.jsp* et *.phtm*) sont écrasés par un bref code HTML
indiquant (entre autres) la génération courante du ver.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Cedric Blancher
Le Wed, 22 Dec 2004 00:53:40 +0000, Nicob a écrit :
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux installations de phpBB non patchées. [...]
Le ver est un programme Perl d'environ 220 lignes. [...]
En cas de compromission, de nombreux fichiers (*.htm*, *.php*, *.asp*, *.shtm*, *.jsp* et *.phtm*) sont écrasés par un bref code HTML indiquant (entre autres) la génération courante du ver.
Ça me rappelle un incident de sécurité précédemment évoqué ici... c'est dommage qu'on n'ait pas pu y investiguer plus profondément, je suis sûr qu'on aurait trouvé des choses intéressantes ce cet accabis.
-- # Okay, what on Earth is this one supposed to be used for? 2.4.0 linux/drivers/char/cp437.uni
Le Wed, 22 Dec 2004 00:53:40 +0000, Nicob a écrit :
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux
installations de phpBB non patchées.
[...]
Le ver est un programme Perl d'environ 220 lignes.
[...]
En cas de compromission, de nombreux fichiers (*.htm*, *.php*,
*.asp*, *.shtm*, *.jsp* et *.phtm*) sont écrasés par un bref code HTML
indiquant (entre autres) la génération courante du ver.
Ça me rappelle un incident de sécurité précédemment évoqué ici...
c'est dommage qu'on n'ait pas pu y investiguer plus profondément, je suis
sûr qu'on aurait trouvé des choses intéressantes ce cet accabis.
--
# Okay, what on Earth is this one supposed to be used for?
2.4.0 linux/drivers/char/cp437.uni
Le Wed, 22 Dec 2004 00:53:40 +0000, Nicob a écrit :
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux installations de phpBB non patchées. [...]
Le ver est un programme Perl d'environ 220 lignes. [...]
En cas de compromission, de nombreux fichiers (*.htm*, *.php*, *.asp*, *.shtm*, *.jsp* et *.phtm*) sont écrasés par un bref code HTML indiquant (entre autres) la génération courante du ver.
Ça me rappelle un incident de sécurité précédemment évoqué ici... c'est dommage qu'on n'ait pas pu y investiguer plus profondément, je suis sûr qu'on aurait trouvé des choses intéressantes ce cet accabis.
-- # Okay, what on Earth is this one supposed to be used for? 2.4.0 linux/drivers/char/cp437.uni
Patrice Auffret
On 22 Dec 2004 00:53:40 GMT Nicob wrote:
Salut,
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux installations de phpBB non patchées. Le moteur de recherche de MSN recense 30.000+ forums hackés. [..]
J'ai du mal à voir comment cela pourrait être un ver. Un outil de mass defacement ok, mais un ver ...
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Si quelqu'un à une idée, je serais très intéressé ;)
On 22 Dec 2004 00:53:40 GMT
Nicob <nicob@I.hate.spammers.com> wrote:
Salut,
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux
installations de phpBB non patchées. Le moteur de recherche de MSN
recense 30.000+ forums hackés.
[..]
J'ai du mal à voir comment cela pourrait être un ver. Un outil de
mass defacement ok, mais un ver ...
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait
le support des modules Perl sur le site infecté, je vois pas bien
comment il pourrait lancer l'attaque à son tour, ou alors il lui faut
un interpréteur Perl.
Si quelqu'un à une idée, je serais très intéressé ;)
juste pour annoncer la sortie d'un ver (Santy.A) s'attaquant aux installations de phpBB non patchées. Le moteur de recherche de MSN recense 30.000+ forums hackés. [..]
J'ai du mal à voir comment cela pourrait être un ver. Un outil de mass defacement ok, mais un ver ...
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Si quelqu'un à une idée, je serais très intéressé ;)
Cedric Blancher
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion de la base PhpBB installée) sur laquelle Perl n'est pas installé par défaut ? Si tu prends la Debian par exemple, le package Apache, dépend même de Perl...
sinon, le code source du ver (parce que c'est bien un ver) est disponible ici :
http://www.milw0rm.com/id.php?idp2
Je peux me tromper, mais il me semble bien le voir se copier sur le serveur vulnérable dans un fichier[1] et demander l'exécution de ce fichier par le binaire perl[2]. Ce qui est confirmé par la description de F-Secure :
http://www.f-secure.com/v-descs/santy_a.shtml
"If the worm is able to exploit the vulnerablity, it will attempt to transfer itself to the victim host in 20-byte chunks. If any of the chunks is lost during the transfer, it will cause the worm to get corrupted, which can render the worm disfunctional on the victim. The worm is written to a file "m1ho2of" on the victim. After the transfer is complete, the worm will use the exploit once again to execute the code using the system default Perl interpreter."
Maintenant, que la supposition faite que Perl soit disponible sur la machine puisse être vraie (ce qui sera _très_ souvent le cas) ou non, cela ne change pas amha le caractère autonome et reproductif (via le réseau) du code, et donc sa classification comme ver.
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait
le support des modules Perl sur le site infecté, je vois pas bien
comment il pourrait lancer l'attaque à son tour, ou alors il lui faut
un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion
de la base PhpBB installée) sur laquelle Perl n'est pas installé par
défaut ? Si tu prends la Debian par exemple, le package Apache, dépend
même de Perl...
sinon, le code source du ver (parce que c'est bien un ver) est disponible
ici :
http://www.milw0rm.com/id.php?idp2
Je peux me tromper, mais il me semble bien le voir se copier sur le
serveur vulnérable dans un fichier[1] et demander l'exécution de ce
fichier par le binaire perl[2]. Ce qui est confirmé par la description de
F-Secure :
http://www.f-secure.com/v-descs/santy_a.shtml
"If the worm is able to exploit the vulnerablity, it will attempt to
transfer itself to the victim host in 20-byte chunks. If any of the
chunks is lost during the transfer, it will cause the worm to get
corrupted, which can render the worm disfunctional on the victim.
The worm is written to a file "m1ho2of" on the victim. After the transfer
is complete, the worm will use the exploit once again to execute the code
using the system default Perl interpreter."
Maintenant, que la supposition faite que Perl soit disponible sur la
machine puisse être vraie (ce qui sera _très_ souvent le cas) ou non,
cela ne change pas amha le caractère autonome et reproductif (via le
réseau) du code, et donc sa classification comme ver.
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion de la base PhpBB installée) sur laquelle Perl n'est pas installé par défaut ? Si tu prends la Debian par exemple, le package Apache, dépend même de Perl...
sinon, le code source du ver (parce que c'est bien un ver) est disponible ici :
http://www.milw0rm.com/id.php?idp2
Je peux me tromper, mais il me semble bien le voir se copier sur le serveur vulnérable dans un fichier[1] et demander l'exécution de ce fichier par le binaire perl[2]. Ce qui est confirmé par la description de F-Secure :
http://www.f-secure.com/v-descs/santy_a.shtml
"If the worm is able to exploit the vulnerablity, it will attempt to transfer itself to the victim host in 20-byte chunks. If any of the chunks is lost during the transfer, it will cause the worm to get corrupted, which can render the worm disfunctional on the victim. The worm is written to a file "m1ho2of" on the victim. After the transfer is complete, the worm will use the exploit once again to execute the code using the system default Perl interpreter."
Maintenant, que la supposition faite que Perl soit disponible sur la machine puisse être vraie (ce qui sera _très_ souvent le cas) ou non, cela ne change pas amha le caractère autonome et reproductif (via le réseau) du code, et donc sa classification comme ver.
On 23 Dec 2004 14:44:31 GMT Cedric Blancher wrote:
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion de la base PhpBB installée) sur laquelle Perl n'est pas installé par défaut ? Si tu prends la Debian par exemple, le package Apache, dépend même de Perl... [..]
Ok. Je l'ai compris quand j'ai vu le code posté sur full-disclosure.
On 23 Dec 2004 14:44:31 GMT
Cedric Blancher <blancher@cartel-securite.fr> wrote:
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait
le support des modules Perl sur le site infecté, je vois pas bien
comment il pourrait lancer l'attaque à son tour, ou alors il lui faut
un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion
de la base PhpBB installée) sur laquelle Perl n'est pas installé par
défaut ? Si tu prends la Debian par exemple, le package Apache, dépend
même de Perl...
[..]
Ok. Je l'ai compris quand j'ai vu le code posté sur full-disclosure.
On 23 Dec 2004 14:44:31 GMT Cedric Blancher wrote:
Le Thu, 23 Dec 2004 14:15:58 +0000, Patrice Auffret a écrit :
Il est écrit en Perl, il deface des sites en PHP. A moins qu'il y ait le support des modules Perl sur le site infecté, je vois pas bien comment il pourrait lancer l'attaque à son tour, ou alors il lui faut un interpréteur Perl.
Tu connais une distribution Linux (qui constitue amha une large portion de la base PhpBB installée) sur laquelle Perl n'est pas installé par défaut ? Si tu prends la Debian par exemple, le package Apache, dépend même de Perl... [..]
Ok. Je l'ai compris quand j'ai vu le code posté sur full-disclosure.
