 |
|
PHP/Santy-net |
|
概 述
|
|
|
病毒描述
|
|
最后更新:*
|
|
Dec 21 2004 |
|
捕获时间:*
|
|
Dec 21 2004 |
|
|
FortiGate能检测到的
病毒库版本*
|
|
FOS/V2.36:
|
4.532 |
|
FOS/V2.50:
|
4.532 |
|
FOS/V2.80:
|
4.532 |
|
|
|
|
病毒特点
|
|
威胁程度:*
|
1
2 3 4 5
|
|
病毒长度:*
|
4,996+ |
|
病毒类型:*
|
Worm
|
|
|
|
受影响系统*
|
|
|
|
|
其它名称*
|
|
Net-Worm.Perl.Santy.a [KAV], |
|
PHP/Santy.A |
|
|
|
|
|
|
表现特征
|
- 运行 v2.0.10 及其以下版本的 phpBB 服务器端会有大量的文件被改写为包含黑底红字的 HTML 文件,文字内容如下 -
This site is defaced!!!
NeverEverNoSanity WebWorm generation ##.
|
|
|
|
|
|
攻击分析
|
病毒使用 Perl 语言编写,并包含 phpBB(一个基于 PHP 编写的电子公告程序) 漏洞攻击代码。病毒会通过 google
搜索引擎来查找可用版本的 phpBB。通过 Google 回馈信息创建一个服务器列表,然后通过标准的 URL 请求发送漏洞攻击代码。
服务器收到 URL 请求后可能会被感染,然后很多文件可能会被改写为简短的包含 "This site is defaced!!!" 信息的
HTML 文件。
被攻击的服务器记录文件可能包含病毒的攻击连接如下 -. . . viewtopic.php?. .
.highlight=%2527%252Efwrite(fopen(chr(109)%252echr(49)%252e
等等。
系统漏洞
通过特殊构造的 URL 请求,可以用来攻击一些安装了 PHP 的服务器。漏洞的十六进制代码通过描述符 % 例如 %2527 来实现。当对 "viewtopic.php"
文件解码的时候漏掉了某些十六进制代码从而导致可以在远端服务器上执行本地文件。
病毒试图执行已经感染的服务器上的 Perl 脚本继续感染其他主机。
一个 phpBB 关闭本地执行代码的漏洞可以访问 "viewtopic.php" [http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513],而不必升级当前版本。但建议升级到新的版本。
文件改写
拥有以下扩展名的文件将可能会被改写 -
.htm
.php
.jsp
.shtm
.asp
.phtm
被改写的文件包含黑底红字并包含以下信息 -
This site is defaced!!!
NeverEverNoSanity WebWorm generation ##.
|
|
|
|
|
|
处理方式
|
- 用Web界面检查ForiGate的病毒库是否最新病毒库,更新到最新病毒库,如有必要请使用"Allow Push Update"选项。
- 至少升级 phpBB 的版本到 2.0.11,详细情况请访问 phpBB 站点。
|
|
