Сказано - сделано!
АрхивКолонка ЗолотоваЭпидемия червя Santy, разразившаяся в Сети в начале этой недели, повлекла многочисленные жертвы в виде десятков тысяч изуродованных веб-сайтов. Трагедии можно было бы избежать, не будь системные администраторы столь ленивы, и... не существуй поисковой машины Google!
Весьма примечательная и необычная история приключилась в первой половине недели в Сети. Началось всё 21 декабря, когда посетители нескольких тысяч сайтов, равномерно разбросанных по национальным доменам, заглянув на свои любимые узлы нашли там вместо их нормального содержимого запись примерно следующего содержания:
Идентичным образом выглядели все странички на подвергшихся атаке таинственного злоумышленника сайтах. "Дефейс" (искажение веб-страниц) обычно практикуют взломщики, однако, насколько можно было судить по оставленной записи, в данном случае злодейство - дело рук не человека, а вируса. Что быстро подтвердили специалисты сразу нескольких антивирусных компаний, определивших виновника как червя Santy. Впрочем, к тому моменту, когда журналистам были объявлены предварительные результаты расследования, число изуродованных сайтов уже пошло на десятки тысяч. Понятно, что "освоить" такие объёмы вручную не под силу ни одной хакерской группе. Тогда же был определён и "профессиональный почерк" Santy: он нападал только на веб-узлы, на которых работали форумы, построенные на движке phpBB.
Детальный анализ вируса нарисовал следующую картину. Santy использует для проникновения на атакуемый узел "дыру" в phpBB. Этот форумный движок, разрабатываемый на принципах открытого кода, весьма популярен, но как и любой продукт не лишён уязвимостей. В начале ноября в его коде были найдены несколько серьёзных ошибок, опубликованы рецепты их применения и по миру прокатилась волна взломов. Вскоре "дыры" были устранены в новой версии продукта (2.0.11), но как это всегда бывает, многие администраторы поленились обновить форумы, находящиеся в их подчинении. Santy эксплуатирует как раз одну из этих ошибок. Передав некорректный запрос на атакуемую инсталляцию phpBB, он получает возможность выполнить на сервере произвольный код - после чего перекачивает на сайт свою копию и запускает её. Написан Santy на скриптовом языке Perl, так что для запуска ему требуется ещё и Perl-интерпретатор, но на большинстве серверов (вне зависимости от используемой операционной системы) он имеется. Так что после успешной атаки на phpBB, Santy крушил все HTML-странички (а также .php, .asp, .jsp и некоторых других типов) и приступал к поиску новой жертвы.
И вот здесь проявлялась его уникальная черта. Santy не содержит в своём теле поисковых алгоритмов. Вместо этого он пользуется услугами... поисковой машины Google. Червь формирует особого вида запрос, передаёт его поисковику и вычитывает результаты. С помощью Google Santy отыскивал сайты, использующие phpBB, и атаковал их.
Соответственно, обуздать эпидемию можно было только двумя способами. Первый: призвать всех администраторов пропатчить, наконец, устаревшие инсталляции phpBB. Второй: обратиться в Google с просьбой блокировать запросы от Santy. Сами понимаете, первое - из области фантастики, но второе было проделано и уже на вторые сутки эпидемии Google перестала отвечать вирусу. Что и обозначило окончание инфекционной вспышки.
Как оценить масштабы эпидемии необычного червя? Сделать это можно с помощью всё тех же поисковых машин, которые, регулярно прочёсывая Веб, индексировали в своих базах данных и изувеченные Santy сайты. По разным оценкам, основанных на результатах, выдаваемых разными поисковиками, число заражений варьируется от трёх тысяч до почти сорока. Впрочем, общее число инсталляций phpBB составляет несколько миллионов, так что наверняка инфекция расползлась шире, просто поисковые машины не успели проиндексировать всё. В пользу этой версии говорит и тот факт, что очевидцы наблюдали копии вируса, принадлежащие к поколению 22 (Santy вёл счёт коленам своего "семейного древа" и запись "Generation 22" означает число предков данной копии).
Оценивая последствия, нельзя не заметить, что ситуация развивается в точности по сценарию, написанному антивирусными экспертами в недавнем прогнозе на ближайшее будущее. Вирусы всё активней прибегают к помощи внешних программ и веб-сервисов. Нынешним летом услугами поисковиков частично пользовался MyDoom, но Santy - первый вирус, репликация которого целиком завязана на поисковую машину. То ли ещё будет!