Santy.E: Wurm nutzt Bugs in PHP-Programmierung

Während die Mitglieder der Santy-Wurm-Familie bislang auf eine Schwäche der PHP-Foren-Software phpBB zielten, taucht mit Santy.E eine Version auf, die allgemeine Schwächen auf PHP-Seiten auszunutzen versucht.

Der französische Sicherheitsexperte K-OTik warnt vor diesen neueren Versionen. Bei Santy.C und Santy.E ist der Ansatz ein anderer als bislang. Statt auf die bekannte Sicherheitslücke in der phpBB-Software zu setzen, suchen diese Versionen nach Fehlern in PHP-Scripts auf Webseiten allgemein. Spezialisiert sind die Würmer dabei auf unsaubere Programmierung der Funktionen "include()" und "require()". Mit beiden Funktionen lässt sich Content einbinden. Laut K-OTik kann ein Angriff erfolgreich sein, wenn die Parameter für Übergabe an diese Funktionen nicht sauber geprüft werden. Gelingt es, über diesen Weg Code einzuschleusen, ist die Übernahme der Maschine möglich. Allerdings hängt Letzteres auch von der Konfiguration des Webservers ab.

Auf Grund dieses abweichenden Verhaltens schlägt K-OTik vor, die Würmer in PHPInclude.Worm umzutaufen. Die Suche nach solchen Rechnern erfolgt nach der gleichen Methode wie bei den Vorgängern. Es werden Suchanfragen bei Google, Yahoo! und AOL gestartet. Wer sich vor diesen Attacken schützen will, muss unter Umständen seine PHP-gestützten Websites neu programmieren, zumindest was die Überprüfung der Parameter an die genannten Funktionen betrifft. K-OTik hat auf dieser Webseite ein Advisory in französischer Sprache bereitgestellt. (uba)

Das tecCHANNEL-Compact "PC, Netz & WLAN professionell absichern", das Sie online für 9,90 Euro bestellen oder für 4,90 Euro als PDF downloaden können, widmet sich explizit dem Thema Client-Security und erläutert, wie man das Angriffsrisiko und die möglichen Folgen minimieren kann.