Google蠕虫:GoogleHacking走向自动的标志

来自莫斯科的安全软件公司卡巴斯基实验室在本周二说他们检测到一个可以用搜索引擎来自动发现系统弱点的新蠕虫。这个新蠕虫称作net-worm.perl.santy.a。他能够用google查询来发现运行phpbb论坛系统的web站点系统漏洞。phpbb是一个用php脚本语言来创建论坛的工具软件。

一个星期前，开源组织 php group发布了 php 4.3.10 和 php 5.0.3来补这个病毒利用的漏洞。phpbb的补丁 2.0.11在11月中旬发布。

keanini谨慎的说：“对于即将到来的2005年，这是一个小小的暗示：所有给我们带来便利的技术同时也会给黑客带来便利”

这种蠕虫病毒请求google给他返回一个使用老版本phpbb版本的软件，接下来他便登录到这些站点并利用老版本的漏洞来访问布告栏。这个蠕虫可以对htm, .php, .asp, .shtm, .jsp, 和 .phtm 文件重写成："this site is defaced!!! this site is defaced!!! neverevernosanity webworm generation."。keanini指出黑客现在正在加强这种智能搜索技术来代替手工操作。

一名google的发言人说：公司正在调查这个问题但是没有更进一步的评价。但似乎已经采取了某些措施。本周2早些时候“neverevernosanity”的搜索返回38000个搜索结果，这些搜索结果大部分是被这些蠕虫病毒修改所导致。在今天早晨1点，这些字符串的返回结果是0（译者注：译者在下午两点搜索时只发现一个搜索结果）。

和其他internet用户一样，黑客发现google是一个发现有用信息的聚宝盆（treasure　trove）特别是在漏洞探测上。当一个站点成为google黑客行为（google hacking）的猎物时，你会发现一个称作google黑客行为数据库（google　hacking　database），他列举了一些用来在google上搜索的特殊的字符串，这些字符串返回一些运行某些软件或硬件的站点地址。这些信息有正当的用处，但也容易探测出一些系统的漏洞。一个叫johnny　long的站点维护者在和别人合著发行的名为《google渗透探测者》（google　hacking　for　penetration　testers）的书中称自己是一个基督黑客（christian hacker）。

这也或多或少的证实了越少越好的说法。至少在涉及包括软件和硬件信息的时候是这样。ncircle的漏洞研究主任mike murray 说省略这些细节是一个好习惯。但是在小的站点这种勤快不经常见到。这种蠕虫不会对企业用户带来多少麻烦。murray说：”因为这种传播不会像slammer一样影响internet公司的网络“

本周二下午，各大安全公司已经更新了这种病毒的特征定义来封锁这种病毒，如f-secure, kaspersky labs, symantec, 和 trendmicro。