Autor Tema: Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo  (Leído 3992 veces)

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 15348
    • https://www.daboblog.com
Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo
« en: 22 de Diciembre de 2004, 10:51:53 pm »
al loro webmasters que useis versiones anteriores a la .11

saludos


info de Danae


Perl/Santy.A. Infecta sitios construidos con PhPBB
 
Nombre: Perl/Santy.A
Nombre NOD32: Perl/Santy.A
Tipo: Gusano de PHP
Alias: Santy, Net-Worm.Perl.Santy.a, Perl.Santy, Perl/Santy.Worm, PERL/Santy.worm, PHP/Santy.worm, WORM_SANTY.A, Perl/Santy-A, Perl.Sanity, PHP/Santy.A.worm
 Plataforma: Unix, Linux, Windows
Tamaño: 4,246 bytes

Este gusano se propaga utilizando una vulnerabilidad en PhPBB, un conocido paquete PhP de código abierto, ampliamente utilizado para la creación de foros y sitios Web.

Son vulnerables todas las versiones PhPBB anteriores a la 2.0.11.

El gusano está escrito en Perl, y tiene un tamaño de 4 a 5 Kb.

Al ejecutarse, hace una búsqueda avanzada con varios parámetros, del siguiente archivo en Google, con lo que obtiene una lista de sitios que ejecutan versiones de PhPBB vulnerables:
"viewtopic.php"
El archivo "viewtopic.php" está relacionado con la vulnerabilidad explotada.

NOTA (22/12/04 - 04:55 -0200) Google comienza a bloquear las solicitudes que realiza el gusano para encontrar sitios vulnerables, lo que puede detener su mecanismo de propagación hacia nuevos servidores.

Luego, el gusano envía una solicitud a todos los sitios encontrados, la cuál contiene el exploit para esta vulnerabilidad.

Cuando el servidor bajo ataque procesa esta solicitud, se ejecuta el exploit y el gusano penetra en el sitio y toma el control. Este proceso es luego repetido en cada servidor infectado.

El gusano busca archivos con las siguientes extensiones en todos los directorios del sitio infectado:
.asp
.htm
.jsp
.php
.phtm
.shtm
Los archivos encontrados son sobrescritos con el siguiente texto:



Donde "X" representa un dígito que va aumentando en cada servidor infectado.

El nombre de la página también es "This site is defaced!!!".

Una búsqueda del texto "NeverEverNoSanity WebWorm generation" en un buscador como MSN Search (http://beta.search.msn.com/), muestra una gran cantidad de sitios que han sido modificados al momento de esta descripción (21/12/04, 20:40 -0200), lo que indica la magnitud de la infección.

El gusano no posee ninguna otra carga destructiva, ni otra forma de propagación, y solo afecta a los sitios que se ejecutan con la versión de PhPBB vulnerable.

Los usuarios que visiten estos sitios, no sufren ninguna clase de daño en sus computadoras.

Los servidores de los sitios afectados, pueden sufrir una perdida de rendimiento.

Los administradores de los sitios vulnerables, deben descargar e instalar del siguiente enlace, la versión 2.0.11 de PhPBB, que no es afectada por el exploit que utiliza este gusano:
http://www.phpbb.com/downloads.php

Las páginas sobrescritas deben ser recuperadas desde un respaldo limpio.

Más información: http://www.vsantivirus.com/santy-a.htm
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

Desconectado fedelf

  • Iniciado
  • *****
  • Mensajes: 2060
  • Avatar By Dabo
    • Mi Flickr
Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo
« Respuesta #1 en: 22 de Diciembre de 2004, 11:21:28 pm »
Jejeje, lo vi esta mañana, pero como vi que estabamos parcheados, pase por alto postear el aviso. :D
Canon EOS 40D
18-55 EF-S / 70-200 F4 L IS USM / 50mm 1.4 pero aumentará   :smoke:

Desconectado grotfang

  • Member
  • ***
  • Mensajes: 200
    • http://usuarios.lycos.es/foreromaniacos
Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo
« Respuesta #2 en: 23 de Diciembre de 2004, 09:28:57 am »
Todavía no he visto el código fuente del exploit, pero digo yo... que igual que se puede hacer eso, modificándolo un poquito se podrá acceder como administrador, no?? :roll:  :roll:  :roll:
Canon digital IXUS II

Desconectado Antonio de la Flor

  • Pro Member
  • ****
  • Mensajes: 562
    • http://www.adelaflor.com
Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo
« Respuesta #3 en: 26 de Diciembre de 2004, 04:14:04 pm »
¿Sabéis donde está el cambio de marchas del planeta? Es que no lo encuentro y quiero poner una marcha menos.

Saludos y gracias :)
No les des el pez, dales la caña

www.editoresweb.com es mi web sobre edición web ("webmastering"), "Aprender haciendo webs" (y no aprender a hacerlas que eso es otra cosa) ;)

Desconectado Dabo

  • Administrator
  • *
  • Mensajes: 15348
    • https://www.daboblog.com
Perl/Santy.A. Infecta sitios construidos con PhPBB, ojo
« Respuesta #4 en: 27 de Diciembre de 2004, 01:23:54 pm »
ojito que ahora ataca de otra forma, es a traves de google brasil, pasaros por el foro de alertas y vulnerabilidades

saludos

metiendo la sexta  :wink:
Hacking, computing, are in my blood, are a part of me, a part of my life...Debian GNU/Linux rules.

Twitter; https://twitter.com/daboblog
Instagram: @daboblog


www.daboblog.com | www.debianhackers.net | www.caborian.com | www.apachectl.com | www.davidhernandez

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License