zurück zum Artikel

Mehrere deutsche Web-Auftritte gehackt [2. Update]

Daniel Bachfeld

Web-Auftritten, die unter dem Content Management System N/X laufen, droht eventuell die Gefahr eines so genannten Defacements, also der böswilligen Umgestaltung der Startseite.

Web-Auftritten, die unter dem Content Management System N/X [1] laufen, droht eventuell die Gefahr eines so genannten Defacements, also der böswilligen Umgestaltung der Startseite. Betroffen waren nach Kenntnis von heise Security bislang die Seiten von Softmaker, Men's Health, des Zoos MĂŒnchen, der Zeitschrift Connect und die Homepage von N/X selbst. Einige der Seiten sind mittlerweile wieder hergestellt. Sehr wahrscheinlich sind auch andere Betreiber vom Umbau ihrer Seiten betroffen, die dann ungefĂ€hr folgendermaßen aussieht:

Durch welche Schwachstelle es den bislang Unbekannten gelang, die Inhalte zu verĂ€ndern, ist zurzeit nicht klar. Die Entwickler von N/X weisen darauf hin [2], dass ihr CMS von den kĂŒrzlich gemeldeten Schwachstellen in PHP [3] nicht betroffen ist. Aus dem Text "NeverEverNoSanity" im Defacement lĂ€sst sich schließen, dass eine Benutzereingabe wahrscheinlich nicht richtig gefiltert wird und ein Angreifer so möglicherweise Befehle einschleusen und ausfĂŒhren kann, Ă€hnlich wie bei SQL-Injection [4].

Update
Die Defacements entpuppen sich nach und nach als Angriffswelle eines Wurms gegen Seiten, die die Forensoftware phpBB einsetzen. Laut der ErklĂ€rung auf der Homepage von phpBB [5] dringt der Wurm ĂŒber die seit vier Wochen bekannte viewtopic-SicherheitslĂŒcke [6] ein und ĂŒberschreibt Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm mit eigenen Inhalten. Zum Finden von Seiten, die phpBB einsetzen, benutzt der Wurm Google, indem er nach URLs sucht, die die Zeichenkette "viewtopic.php" enhalten. In phpBB 2.0.11 ist die LĂŒcke beseitigt. Auf die Schnelle hilft auch der auf phpBB.com veröffentlichte Workaround [7].

Mittlerweile hat Kaspersky eine Warnung [8] veröffentlicht. Die Antiviren-Spezialisten sprechen angesichts der raschen Ausbreitung bereits von einer Epidemie und haben den Wurm auf Net-Worm.Perl.Santy.a getauft. Die ErklÀrungen auf den Kaspersky-Seiten decken sich weitgehend mit den von heise Security prÀsentierten Informationen. (dab [9])

URL dieses Artikels:
https://www.heise.de/-123156

Links in diesem Artikel:
[1] http://www.nxsystems.org
[2] http://www.nxsystems.org/stage.php?page=100488&v=1&article=102792
[3] https://www.heise.de/news/Zahlreiche-Schwachstellen-in-Skriptsprache-PHP-122045.html
[4] https://www.heise.de/hintergrund/Giftspritze-270382.html
[5] http://www.phpbb.de/viewtopic.php?t=73427
[6] https://www.heise.de/news/Mehrere-Luecken-in-Forensoftware-phpBB-116856.html
[7] http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
[8] http://www.kaspersky.com/news?id=156681162
[9] mailto:dab@ct.de

Copyright © 2004 Heise Medien