Virus en foros phpBB

Santy, es un nuevo y peligroso gusano que está arrasando Internet, atacando todo tipo de servidores, y actualmente con casi 50.000 páginas alteradas y borrado su contenido.

Escrito en Perl, PHP/Santy.A.worm aprovecha una vulnerabilidad existente en el foro libre phpBB, instalado en un gran número de servidores de todo tipo tanto Linux como Windows.

La vulnerabilidad no afecta a usuarios domésticos, ya que reside en el script «viewtopic.php», albergado en el servidor y que permite sustituir todas las páginas asp, htm, jsp, php, phtm y shtm por un HTML que muestra un mensaje:

«This site is defaced!!! NeveEverNoSanity WebWorm generation X».

«X» va cambiando en función de las infecciones que el nuevo virus lleva a cabo.

Para su propagación el gusano se ha estado aprovechando de Google, llevando a cabo búsquedas masivas de servidores web con phpBB.

Al momento de publicarse la noticia casi 50.000 sites han sido infectados, a la vista de lo cual Google ha decidido modificar el comportamiento de su buscador para evitar que sea empleado como herramienta.

Puede prevenir la infección modificándo el archivo viewtopic.php

Buscar el lugar donde se encuentra:


//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars(urldecode($HTTP_GET_VARS['highlight']))));

for($i = 0; $i < sizeof($words); $i++) {

Y reemplazarlo con esto:


//
// Was a highlight request part of the URI?
//
$highlight_match = $highlight = '';
if (isset($HTTP_GET_VARS['highlight']))
{
// Split words and phrases
$words = explode(' ', trim(htmlspecialchars($HTTP_GET_VARS['highlight'])));

for($i = 0; $i < sizeof($words); $i++) {

* Artículo original:
sucios.com/foro/viewtopic.php?t=5540

* Información del parche:
http://www.phpbb.com/phpBB/viewtopic.php?t=240513.