Webservers hebben nog steeds last van de Santy Worm



Sinds begin december dit jaar was het al bekend dat er een aantal
beveiligings lekken in PhpBB 2.0.11. PhpBB is de officiële naam van het
populaire forum php Burning Board. Deze lekken worden misbruikt door de
Santy.A worm. Dit is een klein Perl script, die onder andere van de
zoekmachine Google gebruik maakt om PHP web-paginas te vinden van
websites die PhpBB gebruiken.
Daarnaast worden PhpNuke websites
ook aangevallen. De beste (preventieve) oplossing is om de software zo
snel mogelijk te upgraden naar de laatste versie. Daarnaast dient men
ook de PHP versie op de webserver te upgraden naar minimaal PHP versie
4.3.8. Het script plaatst een deamon (Service) op de webserver om vanaf
die server verder te zoeken naar andere webservers en om ook deze te
infecteren en om die later te gebruiken bij Denial of Service attacks.
Geïnfecteerde websites kunnen ook gedefaced worden.

Ongeveer 4% van alle Chat forums maken gebruik van phpBB, dat zijn ongeveer 40.000 sites.

Alhoewel Google heeft verklaard dat ze maatregelen hebben getroffen om
de worm af te weren, horen wij nog steeds dat er websites worden
aangevallen.
De meeste websites hebben de updates reeds uitgevoerd, maar hebben toch
last van het extra verkeer als gevolg van de aanvallen vanaf
geïnfecteerde machines. Dit extra verkeer kan de website aanzienlijk
slecht bereikbaar en langzaam maken. Sommige beheerders plaatsen de
website tijdelijk op een andere server met een andere (sub)domeinnaam.
En verwijzen bezoekers via de oude locatie middels een redirect naar de
nieuwe tijdelijk locatie.

Relevante links:

Bron: EMEA.nl



Comments are closed.
%d bloggers liken dit: