Citation :
Des milliers de sites ont été défigurés par un ver informatique nommé Santy.A qui exploite une faille des forums phpBB. Ces forums sont repérés par le ver en effectuant une recherches sur Google.
PhpBB est un script php permettant de mettre en place facilement un forum sur un site web. Le ver Santy exploite une faille présente dans les versions antérieures à la 2.0.1.1. Malheureusement, peu de sites mettent régulièrement à jour leur script. Cest ce qui a permis à Sandy dinfecter plus de 40 000 sites moins de 24h après son apparition le 20 décembre 2004.
Sandy scanne les fichiers htm, php, asp, shtm, jsp et phtm qui se trouve sur le serveur infecté. Il remplace alors ceux-ci par le texte « This site is defaced !!! This site is defaced !!! NeverEverNoSanity WebWorm generation ». Le ver recherche alors sur Google les adresses de sites contenant viewtopic.php, fichier typique des installations phpBB, pour infecter dautres serveurs.
La progression du ver a été stoppée preque totalement lorsque Google a bloqué le terme recherché. Léquipe de sécurité du moteur de recherche a dailleurs déclaré que même si 7 heures était un temps de réponse raisonnable, ils pensaient pouvoir faire mieux à lavenir. Il ne faut cependant pas oublier que Google nest pas vraiment responsable, leur site ayant simplement été utilisé à de mauvaises fins. Toutefois, Sandy nest pas le premier ver à exploiter Google pour se propager. Une variante du virus MyDoom avait fait de même il y a quelques temps en bombardant Google de requêtes destinées à récupérer des adresses de courrier électronique pour se propager.
Finalement, cette attaque rappelle une nouvelle fois la nécessité des mises à jour, même sur les serveurs web...
|