Ziel sind Webserver

F-Secure warnt vor einem PHP-IRC-Bot

F-Secure hat eine neue Angriffsmethode gemeldet. Der variable IRC-Bot nutzt PHP um in Webserver einzudringen

PHP-RFI-Exploits (Remote File Inclusion) seien für Malware-Analysten nichts Ungewöhnliches. Typischerweise handle es sich dabei um eine Web-basierte Hintertür, wie zum Beispiel C99. Diesmal sei man doch auch etwas Außergewöhnlicheres gestoßen.

Eine neue Angriffsmethode benutzt verschiedene Techniken. Man entdeckte ein PHP-Script, welches schwer verschleiert ist. Drüber hinaus besitzt es eine verschlüsselte Konfiguration. Es ist ein IRC-Bot in PHP geschrieben. Darüber hinaus benutzt die Malware neun DNS-Server, um zu seinem Meister zu gelangen. Die Domain-Namen würden sich schnell ändern. Die meisten der kompromittierten Maschinen seien Webserver. Man bezeichnete den Schadode mit Backdoor.PHP/Obfu. (jdo)

Sie interessieren sich für IT-Security? Über aktuelle Sicherheitslücken informieren Sie die Security-Reports von TecChannel in Kooperation mit Secunia. Sie können diesen Dienst auch als kostenlosen Newsletter oder als tägliche tecCHANNEL Security Summary abonnieren. Premium-Kunden haben zudem die Möglichkeit, sich bei hoch kritischen Lücken per Security Alert informieren zu lassen.