Automatisierte Angriffe auf Gästebuch-Modul für PostNuke
Im Gästebuch PostGuestbook für PostNuke klafft offenbar eine Lücke, über die Angreifer eigenen PHP-Code von Servern nachladen und starten können. Der automatisierte Angriff sucht verwundbare Server mit Google.
- Daniel Bachfeld
Anwender des Gästebuch-Moduls PostGuestbook für PostNuke sollten ihren Server überprüfen, ob er einem Angriff zum Opfer gefallen ist. Das Modul hat offenbar eine Lücke, über die Berichten zufolge derzeit automatisierte Einbrüche stattfinden. Durch einen Fehler in PostGuestbook scheint es Angreifern möglich zu sein, eigenen PHP-Code von Servern nachzuladen und vom Opferserver ausführen zu lassen. Im vorliegenden Fall wird eine so genannte PHP-Shell (r57shell) nachgeladen, die einen Shell-Zugriff über den Webserver ermöglicht. Einige Systeme scheinen auch schon kompromittiert worden zu sein, zumindest wurde die Startseite verändert (Defacement).
Der automatisierte Angriff findet verwundbare Server mit Hilfe der Suchmaschine Google; der an die Opfersysteme übermittelte Referrer deutet auf arabische Urheber hin. Der Fehler steckt in der bald zwei Jahre alten Version 0.6.1 des Gästebuchs, eine neue Version steht nicht zur Verfügung. Ob und welche weiteren Bedingungen für einen erfolgreichen Angriff erfüllt sein müssen, etwa register_globals=on und dergleichen, ist nicht bekannt. Abhilfe schafft nach bisherigen Erkenntnissen derzeit nur das Deaktivieren des Gästebuch-Moduls unter PostNuke. (dab)