Une nouvelle forme de malware, les webworms

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Une nouvelle forme de malware, les webworms

Publié le 27 décembre 2004 à 18:54 par Pierre-Olivier D.

Lire sur mobile

Il y a quelques temps déjà, nous baptisions 2004, l'année de la sécurité PC.

Il y a quelques temps déjà, nous baptisions 2004, l'année de la sécurité PC.

Les quelques mois passés depuis ce baptème en fanfare n'ont fait que justifier au quotidien, encore et encore, cette appellation.

Il semble aujourd'hui qu'avec quelques jours d'avance nous pouvons, sans complexes, baptiser 2005, l'année de la sécurité Web.

Si vous êtes un minimum au courant de l'actualité de la toile, et je ne doute pas que vous l'êtes, un détail ne vous a surement pas échappé. : près de quarante-mille sites web ont été défacés !

La faute à qui ' ou plutôt à quoi ' Car, pour une fois, il ne s'agit pas là de l'oeuvre d'un pirate, mais bien de celle d'un programme, qui, nous n'en doutons pas, est effectivement, lui, l'oeuvre d'un pirate. Ce programme est un ver. Ou plus exactement, un ver de toile (webworm en anglais).

Baptisé Santy.A, le ver recherche au moyen de Google un forum phpBB 2.0.11 non mis à jour. Une fois un tel forum trouvé, le ver s'installe sur le serveur (indifféremment de l'OS installés, apparemment) hébergeant le forum en exécutant du code arbitraire grâce à la faille qui touche la page viewtopic.php.

Une fois installé dans son nid douillet, le ver mange et digère les pages dont l'extension est ASP, HTM, PHP, PHTM et SHTM. Il produit ensuite une déjection HTML mal odorante. Son activité a pour conséquence le ralentissment du serveur et de la consommation de bande passante (en plus du defacage des sites hébergés par le serveur).

Je sais parfaitement ce que vous vous appréter à me dire, Google a bloqué les requêtes de Santy.A.

Oui, c'est vrai les techniciens et ingénieurs de Google, et on les remercie, ont identifié et bloqué les requêtes en provenance du ver Santy.A empéchant ainsi sa propagation. Une maigre statisfaction pour les webmestres des sites déjà sinistrès.

Toutefois, le code source de Santy.A ayant été publiés, de nouvelles versions apparaissent à l'heure où ces lignes sont écrites. Santy.C, .E ...

Ces nouveaux venus rendent automatique l'exploitation de failles comme par exemple php include.

Ils se servent cette fois des moteurs de recherches d'AOL et de Yahoo pour rechercher non plus des fora, mais toutes pages PHP vulnérables. Free en a fait les frais deux fois de suite la nuit de Noël.

Relisez donc votre code, mettez à jour celui de vos applications web, il n'y a pas de conseils plus sages, parmi les temps qui courent.

Attention toutefois à ne pas conclure qu'un site défacé est un site mal programmé ! En effet, le ver rentre par un site vulnérable mais attaque ensuite par le biais du serveur lui-même tout les sites hébergés.