Sites PHP : un nouveau ver
Un ver se propage actuellement sur Internet en s'attaquant aux sites sous PHP. Ce parasite n'exploite toutefois pas une vulnérabilité de PHP mais plutôt une erreur de programmation courante parmi les sites mal programmés.
C'est décidément la fête aux sites web ! Après Santy, qui s'en prenait aux forums de discussion phpBB, voici venue la relève : un ver circule actuellement sur Internet et tente de corrompre les sites fonctionnants avec PHP.
S'il semble utiliser une technique similaire à Santy pour repérer ses victimes (une requête vers Google), les similitudes entre les deux vers s'arrêtent là. Le nouveau venu exploite en effet non pas une faille mais une erreur de programmation courante. Il cible les sites qui affichent leur contenu à l'aide des fonctions include et require de PHP sans en contrôler l'utilisation. Ces mauvais élèves sont reconnaissables à leurs adresses qui se terminent souvent par "?page=" ou "?id=".
Une fois une victime potentielle trouvée, le ver tente alors de passer comme paramètre à inclure non pas la page originale mais une série de commandes que PHP exécutera sans sourciller si le site est plutôt du genre laxiste. Leur objectif est de forcer la victime à lancer le programme wget afin de récupérer le reste du parasite situé sur un serveur déjà infecté. Le code ainsi téléchargé sera ensuite exécuté à l'aide de la commande "Perl", elle aussi exécutée par le serveur victime.
C'est simple et très efficace.
Si vous êtes webmaster, il n'est cependant pas très difficile de se protéger de ce ver : veillez simplement à ne jamais fournir aux fonctions include ou require un paramètre provenant directement de l'utilisateur (récupérée dans une requête GET par exemple).
Ainsi plutôt que d'utiliser un code tel include, préférez un code qui extraie les valeurs attendues et appelle lui-même, "en dur", les pages à inclure à l'aide, par exemple, d'une structure switch. C'est à peine plus de travail mais c'est beaucoup plus sûr.
Ce nouveau ver semble se propager rapidement, comme nous avons pu en juger à ses nombreuses tentatives d'infection dans les journaux des Nouvelles.net. Si ce n'est déjà fait, il est donc temps de se replonger dans le code de vos pages web !
SOURCE:
http://www.iptsos.com/services/news/news.php?id=3106
Pour seb et autres webmasters php.
-
francedidgeridoo
- Site Admin
- Messages : 8905
- Inscription : ven. 21 févr. 2003, 11:37
- Localisation : Var
- Contact :
Re: Pour seb et autres webmasters php.
Merci de l'info. :8:
Les mesures techniques visant à protèger France Didgeridoo ont été réalisées le 20 novembre 2004 :6:
Les mesures techniques visant à protèger France Didgeridoo ont été réalisées le 20 novembre 2004 :6:
Campagne de lutte anti-sms : (message de la Fédération Française contre le langage SMS)
Et hop le didge... :icon_vert:-
freestylers2000
- Le tchatcheur fou||La tchatcheuse folle
- Messages : 817
- Inscription : sam. 05 avr. 2003, 11:38
- Localisation : TOULOUSE (Montaigut sur save)
- Contact :
Re: Pour seb et autres webmasters php.
Ahhh oui !!!! Y a des capotes sur les serveurs ???
-
raggas
Re: Pour seb et autres webmasters php.
freestylers2000 a écrit :Ahhh oui !!!! Y a des capotes sur les serveurs ???
vu la taille , c est + des sacs poubelles!-
francedidgeridoo
- Site Admin
- Messages : 8905
- Inscription : ven. 21 févr. 2003, 11:37
- Localisation : Var
- Contact :
Re: Pour seb et autres webmasters php.
mdr
Campagne de lutte anti-sms : (message de la Fédération Française contre le langage SMS)
Et hop le didge... :icon_vert: