Santy.A-ormen ble oppdaget i går, og skal ha rukket å spre seg til 40.000 servere innen tirsdag kveld amerikansk tid. Ormen utnytter en sårbarhet i phpBB, et populært gratissystem for diskusjonsfora og nyhetsgrupper, som ble publisert og fikset 15. november. phpBB brukes av servere under både Windows, MacOS og Linux. Fiksen kan lastes ned her: Viewtopic.php.
Santy.A bruker søketjenesten Google for å finne fram til servere som ikke hadde installert fiksen. Infiserte servere sprer ormen videre, og får erstattet alle sine sider – asp, htm, isp, php, phtm og shtm – med meldingen «This site is defaced!!!». De får også installert en bakdør som lar uvedkommende kjøre vilkårlig kode.
Antivirusleverandørene pekte på at siden ormen er avhengig av å bruke Google for å finne sårbare servere å sende seg selv til, ville det være en smal sak for søketjenesten å blokkere den aktuelle søkestrengen. Dersom så ikke skjedde, fryktet de at ormen ville utløse en så kraftig trafikkøkning at vanlige internettbrukere ville merke nedsatt kapasitet på en rekke tjenester.
I natt norsk tid skal Google ha skjønt alvoret i situasjonen. En talsperson for søketjenesten sier til ZDNet at de er oppmerksomme på ormen som rammer servere med phpBB, og at de blokkerer forespørsler generert av Santy.A.
I mars i år advarte det israelske sikkerhetsselskapet Imperva at Google og andre søketjenester kunne misbrukes av ormer. I juli dukket det opp en variant av MyDoom som søkte etter e-postadresser på blant andre Google, Lycos og Altavista, og genererte så mange søk at tjenestene ble vanskelig tilgjengelige for vanlige brukere.
Les også:
- [08.02.2005] Utviklere utestengt fra egen server
- [03.01.2005] Stadig nye ormer mot PHP-nettsider
- [28.12.2004] Søkeorm utvider jaktmarkene
- [27.07.2004] Ny Mydoom-orm slo ut søketjenester
- [13.05.2004] Ny orm smitter via lenke i e-post
- [29.03.2004] Søketjenester kan misbrukes av ormer
