voila ce qui fait chier les sites en ce moment
  • lumosoc
    Membre banni
    Messages : 1265
    Inscription : 07 sept. 2004, 20:31

    voila ce qui fait chier les sites en ce moment

    par lumosoc » 28 déc. 2004, 04:39

    Virus
    Santy.A

    Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Si ce dernier n'est pas à jour, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace sa page d'accueil par un message "This site is defaced!!!" en rouge sur fond noir, empêchant ses visiteurs d'y accéder. Les internautes visiteurs ne sont pas affectés par ce ver, qui automatise le piratage de sites web.
    PREVENTION :
    Les webmestres ayant installé un forum phpBB doivent le mettre à jour en téléchargeant immédiatement la dernière version sur le site de l'éditeur. Les internautes ne sont pas affectés par ce ver, qui risque simplement de rendre inaccessibles certains sites web.

    DESINFECTION :
    Les webmestres concernés doivent mettre à jour leur forum (voir Prévention), supprimer les fichiers installés par le ver puis restaurer les pages modifiées ou supprimées par le ver.


    TYPE :
    Ver

    SYSTEME(S) CONCERNE(S) :
    Forum phpBB version 2.0.10 et inférieures


    ALIAS :
    Santy.A (F-Secure)
    Net-Worm.Perl.Santy.a (Kaspersky)
    PERL/Santy.worm (Mc Afee)
    Perl/Santy-A (Sophos)
    Perl.Santy (Symantec)
    WORM_SANTY.A (Trend Micro)


    DECOUVERTE :
    21/12/2004

    DESCRIPTION DETAILLEE :
    Santy.A est un ver qui cible uniquement les sites web hébergeant un forum phpBB. Ce ver est un script Perl qui utilise Google pour trouver des forums et tester leur sécurité en effectuant une recherche sur le nom de la page susceptible d'être vulnérable à une faille injection SQL récemment découverte (viewtopic.php). Si le forum testé n'est pas à jour dans ses correctifs, le ver infecte le site web en exploitant une vulnérabilité critique récemment divulguée, puis remplace la page d'accueil du site ainsi que tous les fichiers en .asp, .htm, .jsp, .php, .phtm et .shtm par un message "This site is defaced!!! NeverEverNoSanity WebWorm generation [nombre de sites infectés]." en rouge sur fond noir, empêchant les visiteurs d'y accéder :



    Le ver se copie sur le serveur infecté sous le nom m1ho2of et peut s'exécuter et rechercher d'autres sites à infecter si l'interpréteur Perl est installé. Les internautes visiteurs du site ainsi modifié ne sont pas affectés par ce ver, qui a en fait pour but d'automatiser le piratage de sites Internet. Plusieurs dizaines de milliers de sites web vulnérables auraient ainsi été "défigurés".

    Suite au blocage des requêtes du ver par Google le 22/12/04, Santy.A n'est plus opérant. Le code du ver ayant été publié sur Internet, il faut néanmoins s'attendre à l'apparition de variantes utilisant d'autres moteurs de recherche.

    25/12/04 : une variante mineure Santy.B (également appelée Perl.Santy.B) tente d'installer une porte dérobée contrôlée par IRC et d'utiliser les moteurs de recherche AOL et Yahoo pour se propager. AOL bloque désormais les requêtes du virus, empêchant ainsi sa propagation.

    25/12/04 : une variante mineure Santy.C (également appelée Perl.Santy.C) tente d'installer une porte dérobée contrôlée par IRC et d'utiliser Google pour se propager, sans succès puisque ses requêtes sont désormais bloquées

    sources: secureser.com

    donc je pense qu'une sauvegarde ne serait pas inutile,car la ils pataugent dans la semoule avec ça en se moment,car ils savent pas par où il va tenter de renter ,et meme si il n'est pas deja dans ceux qu'y ne font jamais leur mise a jour,et qui polueront apres les autres(styles sassers).

    je suis cela de tres tres pres.dormant peut ça aide parfois ;-)
  • Avatar de l’utilisateur
    kidou56
    MotoRunner
    Messages : 11177
    Inscription : 15 mars 2004, 11:54
    Sexe : Femme
    Moto : 500 CB S noire
    Localisation : Vannes,56(Morbihan),Bretagne

    par kidou56 » 28 déc. 2004, 10:35

    merci de l'info :pouce: pas cool du tout ces cochonneries :gun:
    Image
  • Avatar de l’utilisateur
    Chris
    Administrateur
    Messages : 14993
    Inscription : 11 févr. 2004, 22:46
    Sexe : Homme
    Moto : Ducati 1098
    Localisation : Loudun (86)
    Contact :

    par Chris » 29 déc. 2004, 13:08

    merci ca doit etre OK !!

    :-D
    :V:

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 3 invités