C’est décidément la fête aux sites web ! Après Santy, qui s’en prenait aux forums de discussion phpBB, voici venue la relève : un ver circule actuellement sur Internet et tente de corrompre les sites fonctionnants avec PHP.S’il semble utiliser une technique similaire à Santy pour repérer ses victimes (une requête vers Google), les similitudes entre les deux vers s’arrêtent là. Le nouveau venu exploite en effet non pas une faille mais une erreur de programmation courante. Il cible les sites qui affichent leur contenu à l’aide des fonctions include et require de PHP sans en contrôler l’utilisation. Ces mauvais élèves sont reconnaissables à leurs adresses qui se terminent souvent par « ?page= » ou « ?id= ».Une fois une victime potentielle trouvée, le ver tente alors de passer comme paramètre à inclure non pas la page originale mais une série de commandes que PHP exécutera sans sourciller si le site est plutôt du genre laxiste. Leur objectif est de forcer la victime à lancer le programme wget afin de récupérer le reste du parasite situé sur un serveur déjà infecté. Le code ainsi téléchargé sera ensuite exécuté à l’aide de la commande « Perl », elle aussi exécutée par le serveur victime.C’est simple et très efficace.Si vous êtes webmaster, il n’est cependant pas très difficile de se protéger de ce ver : veillez simplement à ne jamais fournir aux fonctions include ou require un paramètre provenant directement de l’utilisateur (récupérée dans une requête GET par exemple).Ainsi plutôt que d’utiliser un code tel include($_REQUEST[‘page’]), préférez un code qui extraie les valeurs attendues de $_REQUEST[‘page’] et appelle lui-même, « en dur », les pages à inclure à l’aide, par exemple, d’une structure switch. C’est à peine plus de travail mais c’est beaucoup plus sûr.Ce nouveau ver semble se propager rapidement, comme nous avons pu en juger à ses nombreuses tentatives d’infection dans les journaux des Nouvelles.net. Si ce n’est déjà fait, il est donc temps de se replonger dans le code de vos pages web !