Angriffe auf Webserver mit unsicheren PHP-Skripten

Daniel Dubsky,
SicherheitSicherheitsmanagement

Beim
DFN CERT und anderen deutschen CERTs werden aktuell zahlreiche
Angriffe auf Webserver mit unsicheren PHP-Skripten beobachtet. Dabei wird eigener Code eingeschleust, um IRC-Bots zu installieren. Mit deren Hilfe werden die Systeme ferngesteuert und beispielsweise Warez-FTP-Server aufgebaut oder DDoS-Attacken durchgeführt.

Betroffen sind Webserver, in deren Konfigurationsdatei php.ini die Option “allow_url_fopen = on” gesetzt ist und sich PHP-Skripte aufrufen lassen, die dynamisch Code nachladen. Erkennen lassen sich die Angriffe an Einträgen in den Apache-Logfiles sowie in der Crontab, in die der IRC-Bot eingetragen ist.

Bisher hat man zwar nur kompromittierte Linux-Systeme beobachtet, doch die Schwachstellen lassen sich auch auf anderen Betriebssystemen ausnutzen. (dd)

Lesen Sie auch :

Ransomware-as-a-Service: Wie Unternehmen sich vor Daten-Erpressung schützen können

Gefahr fürs Firmennetzwerk: Potenzielle Einfallstore für Hacker identifizieren

Support für Windows Server 2008 und Windows 7 läuft in einem Jahr aus
Daniel Dubsky
Autor: Daniel Dubsky