Az elmúlt hét végén az Interneten egy olyan új féregprogram bukkant fel, amely kifejezetten PHP nyelvben írodott weblapokat próbál meg saját maga terjesztésére felhasználni. A "PhpInclude.Worm" néven azonosított kártevõ egy gyakran ejtett programozási hibát használ ki a sérülékeny szerverekre történõ bejutásra, amelyeket ezt követõen DoS-támadásokhoz és spameléshez felhasználható zombivá változtat.

A féreg a szintén a közelmúltban felbukkanty Santy-hoz hasonlóan internetes keresõk segítségével próbál a potenciálisan megtámadható oldalakat felkutatni, utóbbival szemben azonban nem csak a phpBB fórummotort, hanem minden más PHP-alapú weboldalt megpróbál megtámadni. A kártevõ ráadásul a Google-on kívül a Yahoo keresõjét is fel tudja használni, így az elõbbin a Santy kapcsán foganatosított védelem nem tud kifogni rajta.

A PhpInclude a behatolási kísérlet során az oldal összes szkriptjét és paraméterét végigpróbálja, így egyetlen egy nem megfelelõen ellenõrzött kódrészlet vagy állomány is bejutásts biztosíthat számára. A próbálkozások egyébként a megtámadott szervereken jelentõs forgalomnövekedést okoznak, amely már önmagában is mûködési zavarokhoz, vagy akár a kiszolgálás teljes leállásához vezethet.

Sikeres fertõzés esetén a kártevõ a gépekre egy IRC csatornán keresztül vezérelhetõ hátsó kaput telepít, amely praktikusan bármilyen mûvelet elvégézésre lehetõséget adhat a támadók számára a webkiszolgáló jogosultságai mellett.

A PhpInclude.Worm-ról bõvebb információk a K-otik oldalán olvashatók. A kártevõ elleni védekezés egyetlen módja a hibás szkriptek kijavítása.

szerzõ: Sting
forrás: http://pcforum.hu/hirek/?qnid=9202