Sicherheitslücke in phpMyAdmin

Neues SSH-Brute-Force-Script ist unterwegs

Das SANS Internet Storm Center hat Wind von einem neuen SSH-Script bekommen, das Brute-Force-Angriffe auf Rechnern durchführt.

Das Tool nennt sich dd_ssh und SANS war sich zunächst nicht sicher, dass dieses Script existiert. DShield zeigte aber erhöhte Aktivitäten auf Port 22 und in der Zwischenzeit liegen auch einige Beispiele von dd_ssh vor (MD5: 24dac6bab595cd9c3718ea16a3804009). Sollte jemand eine Kopie mit einer anderen MD5-Summe haben, möchte er diese SANS zukommen lassen. Der Schadcode scheint eine alte Lücke (CVE-2009-1151) in PhpMyAdmin auszunutzen. Zusätzlich haben sich bei Infektionen noch die Dateien vmsplice.txt und dd.txt von der selben IP-Adresse heruntergeladen.

Wer eine PhpMyAdmin-Version einsetzt sollte diese möglichst nicht aus dem Internet erreichbar machen. Und wenn das schon sein muss, dann bitte eine aktuelle Variante einsetzen. In einigen Fällen hatte dd_ssh noch eine Datei mit Namen vm.c im Gepäck, die den lokalen root-Exploit CVE2008-0600 mit sich bringt. In einigen Fällen wurde die Datei setup.php durch eine setup1.php ersetzt, die eine simple Befehlszeile enthält. (jdo)