Codes malveillants
Après Santy, un nouveau ver s'attaque aux sites sous PHP.
Par Jerome Saiz, le 26 déc 2004 à 23:45:00.
Un ver se propage actuellement sur Internet en s'attaquant aux sites sous PHP. Ce parasite n'exploite toutefois pas une vulnérabilité de PHP mais plutôt une erreur de programmation courante parmi les sites mal programmés.
C'est décidément la fête aux sites web ! Après Santy, qui s'en prenait aux forums de discussion phpBB, voici venue la relève : un ver circule actuellement sur Internet et tente de corrompre les sites fonctionnants avec PHP.
S'il semble utiliser une technique similaire à Santy pour repérer ses victimes (une requête vers Google), les similitudes entre les deux vers s'arrêtent là. Le nouveau venu exploite en effet non pas une faille mais une erreur de programmation courante. Il cible les sites qui affichent leur contenu à l'aide des fonctions
include et require de PHP sans en contrôler l'utilisation. Ces mauvais élèves sont reconnaissables à leurs adresses qui se terminent souvent par "?page=" ou "?id=".Une fois une victime potentielle trouvée, le ver tente alors de passer comme paramètre à inclure non pas la page originale mais une série de commandes que PHP exécutera sans sourciller si le site est plutôt du genre laxiste. Leur objectif est de forcer la victime à lancer le programme
wget afin de récupérer le reste du parasite situé sur un serveur déjà infecté. Le code ainsi téléchargé sera ensuite exécuté à l'aide de la commande "Perl", elle aussi exécutée par le serveur victime.C'est simple et très efficace.
Si vous êtes webmaster, il n'est cependant pas très difficile de se protéger de ce ver : veillez simplement à ne jamais fournir aux fonctions include ou require un paramètre provenant directement de l'utilisateur (récupérée dans une requête GET par exemple).
Ainsi plutôt que d'utiliser un code tel include($_REQUEST['page’]), préférez un code qui extraie les valeurs attendues de $_REQUEST['page’] et appelle lui-même, "en dur", les pages à inclure à l'aide, par exemple, d'une structure switch. C'est à peine plus de travail mais c'est beaucoup plus sûr.
Ce nouveau ver semble se propager rapidement, comme nous avons pu en juger à ses nombreuses tentatives d'infection dans les journaux des Nouvelles.net. Si ce n'est déjà fait, il est donc temps de se replonger dans le code de vos pages web !
Plus d'information
- L'alerte sur le site de veille K-Otik (en français)
Cartes blanches
Une phrase d'Eric Domage, d'IDC, interpelait récemment décideurs et acteurs du marché sur l'importance des coûts et le peu de ROI découlant des projets d'IAM. Bruno Vincent nuance voire réfute en partie, ces propos.
Rien ne semble changer en matière de risques et sécurité dans le monde bancaire. Constat désabusé et inquiet d'un RSSI du secteur.
Les dossiers
Les thématiques
espace partenaires
Livres Blancs
Guides
Le Guide Sécurité & Stockage 2009, c'est 290 pages consacrées au marché et à ses acteurs, et 300 entreprises référencées.
