Новая модификация червя Santy.C, которую уже успели переименовать в PhpIncludeWorm, помимо форума phpBB обладает способностью заражения и других приложений PHP. Николай Малых - администратор форума Forum.Protocols.ru при обсуждении возможных вариантов защиты от червя с одним из модераторов этого же форума Phoenix пришёл к следующему варианту защиты - в качестве противодействия попыткам атаки рекомендуется использовать фильтрацию попыток организовать исходящие соединения с Web-сервера на граничном фильтре или самом сервере. Детали фильтрации зависят от конкретного использования хоста на котором работает Web-сервер. В простейшем случае можно просто заблокировать исходящие соединения со всех (или части) IP-адресов данного хоста.
Например, для блокировки всех исходящих соединений из подсети, где размещаются Web-серверы, с помощью межсетевого экрана на базе iptables можно использовать строку:
-A FORWARD -s подсеть Web -p tcp -m tcp -i eth0 --tcp-flags SYN SYN,ACK -j OpenToOutside.
При этом правило OpenToOutside обеспечивает отбрасывание пакетов и запись информации в журнальный файл системы:
-A OpenToOutside -j LOG --log-prefix "IPTABLES-OpenToOutside: " --log-level 4
-A OpenToOutside -j DROP.
Forum.Protocols.ru