Scritto da tombo :
Sembrerebbe che il worm Santy colpisca qualsiasi sito che contenga script PHP che accettano parametri...e si propaghi anche attraverso...
Ancora aggiornamenti sul simpatico worm natalizio...
Secondo un analisi condotta dal sito castlecops.com sembrerebbe che il worm Santy.a si propaghi ora anche attraverso Yahoo oltre che Google. Il virus ricerca qualsiasi script PHP che accetti argomenti passati con il metodo HTTP GET. Questo worm prova tutti gli argomenti nei tuoi script PHP per lanciare comandi shell che accedono ad un particolare sito web per scaricare alcuni files di testo in /tmp, quindi esegue gli scripts usando Perl...
Su castlecops.com viene descritta una tecnica per arginare l'infezione utilizzando il mod_security che Apache mette a disposizione dei sysadmins.
Su raven phpscripts oggi è apparso un articolo che indirizza ad un tread di discussione che descrive il metodo di fermare il worm con il mod_rewrite ed il file .htaccess
In sisntesi occorrono almeno le seguneti regole (thanks Raven and VinDSL) poste all'interno del file .htaccess nella root di phpnuke o del sito web in php che utilizzate:
#Check for Santy Worms and redirect them to a phantom site
#Variant-1
RewriteCond %{HTTP_USER_AGENT} ^LWP [NC,OR]
#Variant-2
RewriteCond %{REQUEST_URI} ^visualcoders [NC,OR]
#Variant-3
RewriteCond %{QUERY_STRING} rush=([^&]+) [NC,OR]
#Variant-4
RewriteCond %{QUERY_STRING} ^(.*)wget(.*) [NC]
RewriteRule ^.*$ SOME-OTHER-PAGE.php [L]
Nota: Interessanti le soluzioni proposte per proteccere i siti dalla minaccia mediante il mod_security o il mod_rewrite
Post: Ultime 24 ore
Comunità
Immagini
Notizie
Utilità
Fedora Dev
Strumenti
Server Date/Time
Date: 19 May 2012
Hits:
Iscritti:
Ultimo: 
Iscritti oggi: 0
Iscritti ieri: 0
Complessivi: 463
Persone Online:
Visitatori: 11
Iscritti: 0
Totale: 11
![[RSS]](images/xml.gif)
![[Valid RSS]](images/valid-rss.png "Validate my RSS feed"){kind=small}
.
