Web sunucularının yeni düşmanı: Sanity

Site Admin

İnternet ortamında yayılmaya başlayan yeni bir virüsün, web sunucularına bulaştığı ve özellikle "php" uzantılı siteleri çökerttiği bildirildi. İnternette yeralan habere göre, yeni ortaya çıkan ve Sanity ismi verilen solucan (Worm), Web sunucularına bulaşıyor, ancak son kullanıcı bilgisayarlarına zarar vermiyor.

Solucan, php tartışma forum yazılımı ile hazırlanmış forum sitelerini çökertiyor. Çökertilen forum sitesine girmek isteyenler, solucan tarafından bırakılan şu mesajı okuyor; "This site is defaced!!! NeverEverNoSanity WebWorm generation X."

Server'larında php temelli Web sunucusu çalıştıranların, antivirüs yazılımlarının en son güncelleme dosyalarını indirip kurmaları gerekiyor.

Kaynak: Hürriyetim

Best of TurkiyeForum

Güvenlik şirketleri, Google arama motoru ile yayılan yeni bir virüsün alarmını verdi. Santy.A, arama motoruyla forum sitelerine bulaşıyor.

Sophos Türkiye Distribütörü Bilser yetkilisi Kerem Dörter, Santy.A solucanının Noel Bayramı öncesinde yayılmasının son derece kritik bir durum olduğunu, solucanın ABD ve Avrupa’da bilgi işlem birimlerinin tatile çıkmasından yararlandığını söyledi. Solucanın yayılmayı seçtiği vakit Dörter’in tabiriyle “sinsi ve zekice”.

TARİH SEÇİMİ SİNSİCE
NTVMSNBC-Teknoloji Servisi’nin sorularını yanıtlayan Sophos Türkiye Distribütörü Bilser uzmanı Kerem Dörter, Santy.A’in yayılmak için seçtiği zamanın tehlike riskini artırdığını ifade etti. Dörter, ABD ve Avrupa’daki bilgi işlem birimlerinin çoğunun Noel nedeniyle tatile çıktığını ve solucan ile mücadele için sadece nöbetçi birimlerin işyerlerinde kaldığına işaret ediyor. “Normal şartlar altında aslında çok da risli bir solucan değil, ama yayıldığı aralık tehlikeyi artırıyor” diyen Dörter, Santy.A’i “özünde standart, tarih sinsice” şeklinde tanımlıyor.

VİEWTOPİC.PHP AÇIĞI
Solucan forum sunucularının kullandığı PhpBB yazılımındaki viewtopic.php komponentinde çıkan açığı suistimal ederek sunuculara sızıyor. Solucan bulaştığı forum sitesindeki dizini tarıyor; HTM, PHP, ASP, SHTM, JSP, ve PHTM uzantıları üzerinden site ekranına, ‘This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation’ ifadesini çıkartıyor. Kısaca, bilgisayar tabiriyle ‘deface’ ediyor. Açığı ilk olarak Kopenhag merkezli Secunia güvenlik şirketi 19 Kasım’da duyurmuştu.

TÜRKİYE DE RİSK ALTINDA
Açık kaynak kodlu yazılım phpBB birçok forum sitesinde kullanılıyor. NTVMSNBC-Teknoloji Servisi’ne bilgi veren Sophos Türkiye Distribütörü Bilser uzmanı Kerem Dörter, bu yazılımın ücretsiz olması nedeniyle Türkiye’deki birçok mesaj grubu ve forum sitesinde kullanıldığını ve bu nedenle de Türkiye’deki kimi mecraların risk altında olduğunu vurguladı. Yazılımın son versiyonunda açığın yamandığına dikkat çeken Dörter, önceki versiyonların ise solucana dayanaksız olduğu uyarısında bulundu.

GOOGLE ÜZERİNDEN TARIYOR
Solucanın Google’da arama yaptığı ile ilgili olarak ise, Dörter şunları söyledi: “Arama motorunda sözcük aramaktan farksız olarak, solucan forum sitelerinin tümünü tarıyor. Binlerce sonucu aldıktan sonra da, sırayla hepsine teker teker saldırıya başlıyor.” Solucanın arama yapmak için ayrı bir sorgulama ara programı kullanıdığını belirten Dörter, bu anlamda Google’ın da “solucana kandığını” söyledi.
Santy.A’in sinsiliği fakat bununla bitmiyor. Solucan bulaştığı sitelerdeki sunucuları taradıktan sonra, ilk etapta ilk üç sunucuya giriyor ve ‘deface’ saldırısını bundan sonra gerçekleştiriyor. Böylece, ‘deface’ ekran çıktığında site için iş işten geçmiş, solucan zaten tüm sunuculara bulaşmış oluyor. Bunun üstüne Dörter’in sözünü ettiği Noel tatili etkisi eklendiğinde, Santy.A’in riski ortaya çıkıyor.
Google Santy.A’in arama motorunu kullanmasını önlemek için bazı tedbirler aldığını duyurdu.

İNTERNETTEKİ ETKİSİ TARTIŞMALI
Uzmanlar Santy.A’in internetteki etkisi hakkında farklı tahminler öne sürüyor. Şimdiye dek ‘deface’ edilen forum sitesi sayısının MSN Search beta versiyonunda 30 bini bulduğu belirtiliyor. Ancak Yahoo ve Google arama motorlarından yapılan incelemeye göre ise, etkilenen site sayısı 785 ile 2 bin 30 arasında değişiyor.
Kimi uzmanlar bu tip rakamların gerçeği yansıtmayacağını, Santy.A’in açık üzerinden forum sunucusuna girmesinin ‘deface’ etmeye yetmeyeceğini, içindeki dosyalarını da ele geçirmesi gerektiğini vurguluyor.

Best of TurkiyeForum

eheheh benim site asp mohuahau ben yırttım. ama gerçekten tehlike bugün radyoda duydum adam bizim için fazla sorun yok falan dedi sinir etti sabah sabah adamı tama öle de burda serverkuLLanan adamlar da war dimi

Best of TurkiyeForum

Ben bu solucan yüzünden gitmiş siteleri Hackledim diye dolaşanları görmüştüm. Birden aklıma geldi Smile