Le ver Santy.a se propage actuellement sur internet. Il efface des sites web qui héberge un forum phpBB dont la version est inférieure ou égale à la 2.0.10 en exploitant une vunérabilité de type injection SQL.
Comme il existe plusieurs millions de forums potentiellement vulnérables à cette attaque l'équipe technique de Google a décider de bloquer les requêtes générées par Santy.a pour l'empêcher d'identifier facilement de nouveaux serveurs.
La solution la plus facile passe par la mise à jour de PHP (4.3.10 ou 5.0.3) et de phpBB (2.0.11). Ou bien vous pouvez modifier le fichier viewtopic.php comme expliqué dans le lien ci-dessous.
Les Signatures Snort sont les suivantes :
alert tcp any any -> $HOME_NET $HTTP_PORTS (msg: "phpBB highlight exploit attempt"; content: "&highlight=%2527%252Esystem(";)
alert tcp any any -> any 80 (msg: "Possible Santy.A worm searching google for targets"; content: "&q=allinurl%3A+%22viewtopic.php%22+%22";)