Angriffe auf Webserver mit unsicheren PHP-Skripten

SicherheitSicherheitsmanagement

Das DFN CERT warnt vor einer massiven Ausnutzung von Schwachstellen in unsicheren PHP-Skripten. Die kompromittierten Webserver werden etwa für Warez-FTP-Server genutzt.

Beim
DFN CERT
und anderen deutschen CERTs werden aktuell zahlreiche
Angriffe auf Webserver mit unsicheren PHP-Skripten
beobachtet. Dabei wird eigener Code eingeschleust, um IRC-Bots zu installieren. Mit deren Hilfe werden die Systeme ferngesteuert und beispielsweise Warez-FTP-Server aufgebaut oder DDoS-Attacken durchgeführt.

Betroffen sind Webserver, in deren Konfigurationsdatei php.ini die Option “allow_url_fopen = on” gesetzt ist und sich PHP-Skripte aufrufen lassen, die dynamisch Code nachladen. Erkennen lassen sich die Angriffe an Einträgen in den Apache-Logfiles sowie in der Crontab, in die der IRC-Bot eingetragen ist.

Bisher hat man zwar nur kompromittierte Linux-Systeme beobachtet, doch die Schwachstellen lassen sich auch auf anderen Betriebssystemen ausnutzen. (dd)

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen