Spezialisten veröffentlichen Lücken in DDoS-Tools
Die auf den Schutz vor verteilten Denial-of-Service-Attacken spezialisierte Firma Prolexic hat diverse Sicherheitslücken in dem DDoS-Toolkit Dirt Jumper veröffentlicht – und ist prompt nicht mehr zu erreichen.
Die Steuer-Server des DDoS-Toolkits Dirt Jumper lassen sich über eine SQL-Injection-Lücke kompromittieren und prinzipiell komplett enteignen. Diese Schwachstellen veröffentlichte die auf den Schutz vor DDoS-Attacken spezialisierte Firma Prolexic, deren Website aber seither kaum mehr zu erreichen ist.
Prolexic entdeckte mehrere Stellen, an denen die PHP-Programme des im Untergrund gehandelten Toolkits Aufrufparameter ungefiltert in Abfragen der MySQL-Datenbank übernehmen. Sie lassen sich etwa mit dem Open-Source-Tool SQLmap aufspüren und dann dazu benutzen, sich den Inhalt der PHP-Config-Datei anzeigen zu lassen. Die enthält Zugangsdaten im Klartext, mit denen man sich etwa als Administrator am Web-Frontend des DDoS-Toolkits anmelden könnte. Prolexic beschreibt die dazu notwendigen Befehle im Detail; wer sie allerdings gegen fremde Server richtet, macht sich damit unter Umständen selbst strafbar.
Wenn man gerade selbst Ziel einer akuten DDoS-Attacke ist, nützt das ohnehin wenig, denn der Command & Control Server beteiligt sich nicht an den Angriffen – taucht also nicht in den Log-Dateien der Server auf. Er steuert lediglich die Aktivitäten der Drohnen. Um zum C&C-Server zu gelangen, müsste man also zunächst eine solche unter seine Kontrolle bekommen und deren Kommunikation analysieren – was sich in der Praxis oft als ziemlich schwierig erweist. Damit hat wohl auch gerade Prolexic zu kämpfen. Denn deren Web-Seiten sind seit der Veröffentlichung des "Vulnerability Disclosure Reports", den man gegen Angabe seiner Adressdaten beziehen kann, kaum mehr zu erreichen. (ju)
