PDA

Просмотр полной версии : Google остановил развитие Santy-A после взлома более 40.000 сайтов



Geser
24.12.2004, 10:04
Распространение в интернете червя "Santy" (Perl/Santy-A), о появлении которого сообщалось вчера, удалось оперативно остановить.
Червь распространялся при помощи популярного поисковика Google: он искал новую "жертву", использующую уязвимую версию популярного приложения для создания интернет-ресурсов, "phpBB".

К вечеру вторника было поражено около 40 тысяч сайтов в интернете.

Как заявили сегодня представители Google, несмотря на то что червь не опасен для пользователей, компания начала блокировать характерные поисковые запросы червя, остановив этим эпидемию.

Как сообщили вчера представители компании Sophos, занимающейся разработкой антивирусных программ, червь заменял содержимое всех web-документов пораженного сайта (при соблюдении определенных условий) следующим сообщением: "This site is defaced!!! NeverEverNoSanity WebWorm generation N" (Этот сайт изуродован!!! NeverEverNoSanity интернет-червь поколение N), где вместо "N" подставлялся номер копии червя.

securitylab.ru

Xen
26.12.2004, 16:45
Сейчас уже появилась версия, использующая Яху и еще что-то... скрипт-то простейший...

Minos
26.12.2004, 22:08
Правильный шаг со стороны Googl, однако он только задержит, но не остановит развитие эпидемии, если админы уязвимых проектов уйдйт на каникулы, то будет очень "весело" после нового года.

Скриптики и в самом деле очень простенькие, для тех кто знаком с perl ссылки:
Santy.c (Santy.e) (http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php)
Santy.b (http://www.k-otik.com/exploits/20041225.SantyB.php)

P.S. DrWeb на них не реагирует :( (на 26.12.2004).

Lex
30.12.2004, 00:09
А в чем глубокий смысл реагировать на них вебу? Пользователи не страдают... Только сайты на phpbb... А они рееееедко используют веба ;)

pig
30.12.2004, 02:07
Perl.Sanity в базе Доктора числится. Если он эти конкретные экземпляры до сих пор не видит, зарядите их (или ссылки хотя бы) на [email protected]. Хотя приоритет у этой посылки будет, конечно, не самым высоким. Как правило, там, где живёт PhpBB, Доктор если и есть, то мониторит отнюдь не файлы на локальном диске.