หนอนตัวใหม่มันติด PhpBB ครับ ผมไม่แน่ใจแต่ถ้าผมเข้าใจไม่ผิด Web Board TVI เป็น PhpBB ใช่หรือไม่ครับ?
http://www.manager.co.th/Cyberbiz/ViewN ... 0000100332
หนอนเว็บไซต์หัวใสโผล่ กระจายโดยเสิร์ชบนกูเกิล
โดย ผู้จัดการออนไลน์ 22 ธันวาคม 2547 12:31 น.
บริษัทแอนตี้ไวรัสหลายแห่งออกประกาศระวังภัยหนอนเว็บไซต์ตัวใหม่ Santy.A เหตุที่เรียก Santy.A ว่าหนอนเว็บไซต์นั้นเป็นเพราะ Santy.A จะแพร่กระจายเฉพาะในเว็บเซิร์ฟเวอร์ที่ใช้ฟรีซอฟต์แวร์แพคเกจยอดนิยมอย่าง phpBB หัวใสสุดๆด้วยการอาศัยช่องทางเสิร์ชเอนจินของของกูเกิลในการหาเหยื่อเครื่องเซิร์ฟเวอร์รายต่อไป โดยใช้วิธีเสิร์ชหายูอาร์แอลที่มีสตริงพิเศษที่บ่งชี้ว่ามีการใช้งาน phpBB
เจ้าหนอนเว็บไซต์ที่ชื่อว่า Santy.A นี้อาศัยช่องโหว่ของฟรีซอฟต์แวร์แพคเกจยอดนิยมที่ชื่อว่า phpBB โดยมีเป้าหมายอยู่ที่เครื่องเว็บเซิร์ฟเวอร์ที่เป็นโฮสของเว็บไซต์ หลังจากการติดเชื้อทำให้เว็บไซต์นั้นๆปรากฎคำว่า "This site is defaced!!! NeverEverNoSanity WebWorm" เป็นการประกาศว่าเว็บไซต์นี้ถูกทำลายโดยฝีมือหนอนเว็บไซต์นี้ไปแล้วเรียบร้อย
เรื่องนี้ทั้งกูเกิลและผู้เชี่ยวชาญพูดเป็นเสียงเดียวกันว่า Santy.A จะไม่มีผลกับผู้ใช้คอมพิวเตอร์ทั่วไป แต่จะมุ่งที่เครื่องเว็บเซิร์ฟเวอร์ที่เป็นโฮสของเว็บไซต์ โดยมิกโกะ ฮิปโปเนน (Mikko Hypponen) ผู้จัดการของสถาบันวิจัยด้านต่อต้านไวรัสของเอฟ-ซีเคียว (F-Secure) ในเฮลซิงกิ กล่าวว่า Santy.A ถูกตรวจพบครั้งแรกเมื่อเช้าวันอังคารที่ผ่านมาตามเวลาในสหรัฐฯ
ร่องรอย Santy
อเล็กซีย์ เซอร์นอฟ (Alexey Zernov) โฆษกของศูนย์วิจัยบริษัทแอนตี้ไวรัสแคสเปอร์สกี้ (Kaspersky Labs) ในกรุงมอสโคว กล่าวกับผู้สื่อข่าวไอดีจีว่า Santy.A นั้นอาศัยจุดอ่อนใน phpBB ซึ่งเป็นซอฟต์แวร์โอเพ่นซอร์สยอดนิยมที่เว็บเซิร์ฟเวอร์ส่วนใหญ่นิยมใช้งาน ในช่วงเวลาที่บริษัทแอนตี้ไวรัสต่างกำลังพยายามตรวจจับและวิเคราะห์ Santy.A นี้ จะสังเกตได้ว่า Santy.A อาจใช้ช่องโหว่ในสคริปต์ภาษา PHP ที่เพิ่งมีการแก้ไขไปเมื่อเร็วๆนี้
phpBB เป็นหนึ่งในซอฟต์แวร์แพคเกจพื้นฐานที่ถูกเขียนขึ้นด้วยภาษา PHP
แคสเปอร์สกี้แล็ปส์ให้ข้อมูลว่า เมื่อ Santy.A แพร่เข้าสู่เครื่องเซิร์ฟเวอร์ที่ใช้ซอฟต์แวร์ phpBB มันจะสแกนไดเร็กทอรี่ในไซต์และจะเขียนทับไฟล์ที่สแกนได้ด้วยไฟล์ภาษา HTM, PHP, ASP, SHTM, JSP และ PHTM พร้อมข้อความ "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation" สีแดง
ฮิปโปเนนกล่าวว่า สิ่งที่พิเศษของ Santy.A คือการแพร่กระจายด้วยการเสิร์ชค้นหายูอาร์แอลในเสิร์ชเอนจินของกูเกิล เพื่อให้ได้ยูอาร์แอลที่มีตัวอักษร viewtopic.php ซึ่งเป็นชุดตัวอักษรพื้นฐานที่มักแสดงว่าถูกเขียนขึ้นโดยใช้ซอฟต์แวร์ phpBB
บล็อกหนอน
อย่างไรก็ตามฮิปโปเนนกล่าวว่า การอาศัยช่องทางแพร่กระจายทางกูเกิลของหนอนนี้อาจจะจบลง หากกูเกิลสามารถบล็อกข้อความเสิร์ชของ Santy.A ได้ เพียงเท่านี้ก็สามารถยับยั้งการแพร่กระจายของหนอนนี้แล้ว โดยเริ่มมีการพยายามติดต่อกับกูเกิล เพื่อขอร้องให้บล็อกการเสิร์ชโดย Santy.A
ผู้เชี่ยวชาญด้านแอนตี้ไวรัสยังไม่ปักใจเชื่อว่าหนอน Santy.A จะฝังโปรแกรมม้าโทรจันหรือมัลแวร์อื่นๆลงในระบบที่ติดเชื้อแล้ว แต่ยืนยันว่า Santy จะไม่มีผลกับคอมพิวเตอร์ธรรมดา เว้นแต่ว่าคอมพิวเตอร์นั้นจะถูกใช้เป็นเครื่องเซิร์ฟเวอร์ให้กับเว็บไซต์ที่ใช้ phpBB
แม้เรื่องนี้ดูจะมีทางออกที่ง่ายดาย แต่นักวิเคราะห์มองว่าวิธีการค้นหาช่องทางแพร่กระจายของ Santy.A ที่ใช้เสิร์ชเอนจินอย่างกูเกิล จะกลายเป็นตัวชี้โพรงให้กระรอกให้กับผู้ไม่ประสงค์ดีรายอื่นๆ
ทั้งเอฟซีเคียวและแคสเปอร์สกี้ต่างก็อัปเดทเรื่องราวของหนอน Santy.A และแนะนำให้ลูกค้าอัปเดทแอนตี้ไวรัสให้สม่ำเสมอ แม้ว่าจะมีการยืนยันว่าไม่มีการแพร่กระจายในเครื่องคอมพิวเตอร์ทั่วไปอย่างแน่นอน
×
บันทึกไม่สำเร็จ
กรุณาลองใหม่อีกครั้ง
บันทึกไม่สำเร็จกรุณาลองใหม่อีกครั้ง
×
บันทึกสำเร็จแล้ว
บันทึกสำเร็จแล้ว