Taiwan.CNET.com : PHP緊急漏洞需修補

Taiwan.CNET.com : PHP緊急漏洞需修補

"軟體開發社群PHP Group在網站上發佈升級程式，修正了數個可能使駭客攻擊PHP 伺服器的危急漏洞。
上周，PHP Group發佈了PHP 4.3.10和5.0.3版 ，修正了PHP 中存在的部分漏洞。該組織在其網站上表示，「我們強烈建議所有PHP 用戶盡快升級到這二個版本之一。」
在這次修正的漏洞中，最危急的漏洞在一個用來壓縮儲存資料的函數中。據發現該漏洞的Hardened-PHP組織表示，若伺服器執行了這個有漏洞的PHP軟體版本，則駭客就能控制該網頁伺服器。 "

昨天才看這新聞，今天就看到被人hack掉的網頁，現在的網路漏洞和攻擊之間的時間差已經縮減到幾天的時間了，以往那種安裝、設定好伺服器就可以高枕無憂的年代早已遠去，相信最近很多Host Service都在進行PHP的升級。應該會有不少的受害者，而且重點是若沒有備援或備份的話，資料可能就會這樣一去不復返了。

所以，定期備份與異地備援還是王道啊！



後記：今天早上就看到ZDNet的新聞了，看來這一波攻擊已經引起注意了
Net worm using Google to spread
"A Web worm that identifies potential victims by searching Google is spreading among online bulletin boards using a vulnerable version of the program phpBB, security professionals said on Tuesday. "
"The worm sends Google a specific search request, essentially asking for a list of vulnerable sites. Armed with the list, the worm then attempts to spread to those sites using a PHP request designed to exploit the phpBB bulletin board software.
The worm is the latest twist on using Google as an attack tool, a practice known as Google hacking. It may also be the first time a program used Google to identify victims for an attack. Around 6 million sites appear to be running the phpBB software, according to a search of Google for the phrase "Powered by phpBB"--an acknowledgment appended to the bottom of any site that uses the software. "
"After it has taken over a site, the worm deletes all HTML, PHP, active server pages (ASP), Java server pages (JSP), and secure HTML pages, and replaces them with the text, "This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation X," according to Kaspersky. For "X," the worm inserts a number representing how far the current instance of the program is descended from the original worm release. MSN searches have found 24th generations of the worm. "

這篇新聞的譯稿：借助Google找目標 Santy.a肆虐網路公告板
"反病毒廠商Kaspersky公司在一份聲明中稱，該蠕蟲病毒利用的是上周公佈的PHP軟體中的一處缺陷，但其攻擊對象不是運行PHP軟體的網站，而是運行具體的PHP軟體——phpBB的網站，另外，它還利用Google搜索引擎來尋找有缺陷的網站。"

看來搜尋引擎正如同水一樣，能載舟亦能覆舟，端看怎麼運用。要拿它來做壞事也不是辦不到的事情。 不過很高興看到Google很快的做出了回應
"On Wednesday, a Google spokesperson told ZDNet Australia that though Google users were not at risk from Santy, the search company had started blocking attempts by the worm to replicate. "

這總比某些公司先三緘其口然後又遲遲發佈消息來得友善多了。倒是Yahoo或是MS沒有出什麼聲音。嗯，他們可能會說樂觀其成吧:P

不過話說回來，這類新聞已經愈來愈顯現媒體資訊上的時間落差。第一篇翻譯新聞稿是在大陸網站找到的，就算不直接翻譯，這類網路安全事件，又是攻擊很多人使用的PHPBB系統，網路上的媒體好歹也應該報一下吧。中午之前都還沒看到有相關新聞，可能都還在寫吧。

後來在CNET終於看到譯稿了，不過這已經是12/22的事情了，該破壞的討論區也大都掛點或是重新開放了。
有趣的是，這種病毒攻擊的方式利用了搜尋引擎的優勢，直接尋找使用PHPbb的討論區網頁，然後再行擴散。不同於以往的電子郵件式病毒，這類使用搜尋引擎來作為hacking的方式早已屢見不鮮，但是自動化這倒是頭一遭。僅僅是單一一個PHP漏洞就可以作為自動攻擊的方式，可以預見以後若有更多的伺服器或是瀏覽器的漏洞後，勢必需要隨時更新，以避免之後可能產生的攻擊。