NeverEverNoSanity WebWorm generation 12

[invite4ab4e72c]

Salut

Est-ce que quelqu'un aurait déjà entendu parler de ce ver ou pourrait me filer un lien pour avoir des infos ?
Mon site a été piraté et ce nom est à peu près tout ce qu'il m'en reste...

Merci.
-----

[invite24357dd0]

C'est apparemment un ver qui utilise Google et une faille dans le gestionnaire de forum phpBB. Plus d'infos :
- Net worm using Google to spread
- PHP exploits and phpBB
- Net Worm Uses Google to Spread

[invitec8ffe9a5]

Lux nous aussi nous n'avons plus rien sur notre site internet de l'assos, toutes les pages ont été détruites. voilà les dernieres infos que j'ai :


Alerte - Un ver informatique attaque des sites web via une faille phpBB
Par la Cellule-Veille © K-OTik Security (21/12/2004)





Risque Elevé (3/4)


Le nouveau ver informatique Santy.a se propage actuellement sur internet, il ne s'agit pas d'un virus de type mass-mailing, il est question d'un Web-Worm. Santy.a a pour but (visible) de défigurer automatiquement des sites web hébergeant un forum phpBB (versions <= 2.0.10) en exploitant la vulnérabilité "highlight SQL Injection" présente au niveau du fichier "viewtopic.php". Note : ce ver, dans sa version actuelle, ne représente aucune menace pour les utilisateurs se rendant sur un site compromis

Santy.a s'autocopie dans le serveur compromis sous le nom "m1ho2of", il identifie ensuite des nouvelles cibles potentielles via le moteur de recherche Google (en utilisant le terme "viewtopic.php"). Plusieurs milliers de sites (40.000) ont d'ores et déjà été détournés, les pages ".htm", ".php", ".asp", ".shtm", ".jsp" et ".phtm" sont modifiées et remplacées par le code suivant : This site is defaced!!! NeverEverNoSanity WebWorm generation x. (où X représente la génération de l'infection).


Il existe actuellement plus de 6 Millions de forums potentiellement vulnérables à cette attaque (d'où un risque qualifié d'Elevé par K-OTik Security). La menace pourrait être atténuée si Google bloquait la recherche des mots "viewtopic.php" et "phpBB".

Update : L'équipe technique de Google vient de bloquer les requêtes générées par Santy.a, ce qui empêchera l'identification et la compromission de nouveaux serveurs.


Solution

- Migrer vers phpBB version 2.0.11 ou modifier le fichier vulnérable.
- Nous recommandons fortement la mise à jour de PHP (utiliser 4.3.10 ou 5.0.3) car une autre vulnérabilité critique, non exploitée par ce ver, pourrait être, dans l'avenir, utilisée comme vecteur de propagation/compromission de serveurs web (sous PHP <= 4.3.9 ou <= 5.0.2).


Signatures Snort

alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esyst em("
alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.p hp%22+%22"


Références

http://www.k-otik.com/exploits/20041...pbb2010.pl.php
http://www.us-cert.gov/cas/techalerts/TA04-356A.html
http://www.f-secure.com/v-descs/santy_a.shtml
http://www.sarc.com/avcenter/venc/data/perl.santy.html
http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
http://www.k-otik.com/exploits/20041...ityworm.pl.php

ChangeLog

21-12-2004 (18h50) : Version Initiale
22-12-2004 (03h05) : Google bloque les requêtes Santy

[invite4ab4e72c]

Ce qui me paraît bizarre c'est que tous les dossiers n'ont pas été touchés... seulement les plus importants et pour être remplacés par par un code html bidon... le ver n'aurait pas dû tout attaquer ?
Enfin, après nous être amusés à tout remettre en place, le site a de nouveau été hacké (et ce plusieurs fois).
Bref, soit il y a un petit rigolo qui s'ennuie pendant ses vacances, soit il s'agit bien d'un ver et j'espère que la mise à jour de phpbb suffira à s'en débarasser...

[A voir en vidéo sur Futura]