Anti-Santy féreg akcióban

Titkosítás, biztonság, privát szféra

Újabb phpBB féreg. A féreg ezúttal javít(ani próbál).

Karácsony előtt kezdett tombolni a Santy.{A, B, C} névre hallgató perl féreg, amely a 2.0.11-es verziójúnál korábbi phpBB fórumokban található highlight bugot használja ki. A féreg távolról parancsokat futtat a hibás fórummotort futtató gépen, és azt deface-li, vagy irc-s támadásokhoz ``zombi'' géppé alakítja. A sikeres támadás után a Santy odébbáll és újabb áldozatokat keres. Ehhez a Google és a Yahoo keresőit használja fel.

A járvány meglehetősen komoly, mert a phpBB sok millió oldal kedvenc fórummotorja. A támadás ráadásul karácsonykor tetőzött, amikor a legtöbb oldal gazdája és a hosting cégek rendszergazdái is mással foglalkoztak, mint az oldaluk patchelésével. Az eredmény: kb. 40.000 deface-lt oldal pár nap alatt. A próbálkozások miatt a javított oldalakon is komoly hálózati forgalmat generál a Santy. Akkor is próbálkozik, ha az oldal már nem sebezhető (hatásos védekezés lehet ellene a patchelésen kívül a mod_rewrite és a mod_security Apache modulok használata. Persze ettől még az oldalon nem lesz kisebb a hálózati forgalom.)

Valaki úgy gondolta, hogy ha a bugot rossz szándékkal fel lehet használni, akkor akár jó (?) szándékkal is. Ez a valaki írt egy Anti-Santy férget, és eleresztette az interneten. A működése hasonló a Santy-éhoz (elképzelhető, hogy egy módosított Santy), amely szintén sebezhető oldalakat keres a Google-ban (hogy mennyire hatékony azt nem tudni, mert a Google már sok-sok napja blokkolja a féreg kéréseit). Viszont ellentétben a Santy-val, ez nem tesz irc botokat az áldozatul esett gépekre. Egyszerűen megpróbálja kijavítani a viewtopic.php-ban levő bugot, majd a következő üzenettel deface-li az oldalt:

``viewtopic.php secured by Anti-Santy-Worm V4. Your site is a bit safer, but upgrade to >= 2.0.11.''

Vírusírtó cégek a támadások alapján arra következtetnek, hogy az Anti-Santy wormok Argentínából indultak útjukra.

Természetesen ez a féreg sem jobb, mint a Santy. Ugyanolyan káros forgalmat generál a phpBB oldalakon, mint korábbi társai.

Bővebben itt.

( BaBoKa | 2005. 01. 01., szo – 23:01 )

"Jo" 5let, worm-el javitani a bugokat, de felmerult bennem egy kerdes:

Egy Worm akkoris Worm, ha javit. Mivel a Worm/Troyan stb irast a torveny bunteti, mire szamithat egy "jo cracker"?

Az anti-worm alapvetoen teves elkepzeles.

Szvsz messze tobb a hatranya mint elonye.

Ugyanugy terjed mint a rendes es fogyasztja az eroforrasokat-savszelesseget.

A rendes wormnak a hasznat (felhivja a figyelmet arra hogy rossz a hibakezelesi gyakorlatunk) elveszi.

Ha kesobb erkezik mint a rendes worm, akkor mar sok hasznot se bir hajtani.

Ha barmilyen kis hiba csuszik a programozasaba (pl. nem all le magatol)

kartekonnya valhat.

Ilyen erovel a legtobb virussal sincs semmi baj, hiszen sok kozulok nem csinal semmi bajt, csak csendesen megul a gepben?