8714

PHP im Visier: Santy-Wurm weitet seinen Angriff aus

28.12.2004 | 10:30 Uhr |

Gleich mehrere Varianten des Santy-Wurms sind mittlerweile aufgetaucht. Die Malware griff in der vergangenen Woche bei ihrem Ausbruch zunächst nur Seiten an, bei denen die Forensoftware phpBB zum Einsatz kommt. Mittlerweile hat es der Wurm auf alle Web-Seiten abgesehen, die in der Script-Sprache PHP programmiert wurden.

Der in der vergegangenen Woche aufgetauchte Santy-Wurm hat seine Angriffsstrategie geändert. Die erste Variante hatte es auf Web-Seiten abgesehen, bei denen das Forensystem phpBB zum Einsatz kommt. Um diese Seiten ausfindig zu machen, nutzte der Wurm die Suchmaschine Google. Google konnte seinerzeit die Ausbreitung des Wurms schnell stoppen.

Binnen weniger Tage sind jetzt allerdings gleich mehrere Weiterentwicklungen des Wurms Santy aufgetaucht. Santy.C und Santy.E attackieren nicht mehr nur Internet-Seiten mit phpBB, sondern generell Seiten, die in der Script-Sprache PHP programmiert wurden. Um es genauer zu sagen: Der Wurm hat es auf schlecht in PHP programmierte Seiten abgesehen.

Über Google, Yahoo und AOL versucht der Wurm zunächst Seiten zu ermitteln, die in PHP geschrieben wurden und in denen die Funktionen "include()" und "require()" vorkommen. Diese Funktionen werden dazu genutzt, um den Inhalt von Dateien auf einer Website anzuzeigen. Wenn der Programmierer die an diese Funktion übergebenen Parameter im Code nicht sorgfältig genug überprüft, kann ein Angreifer diese Funktion mißbrauchen und im Extremfall die gesamte Kontrolle über den Webserver übernehmen.

Die französischen Sicherheitsexperten von K-OTik Security empfehlen, PHP-Seiten, in denen die beiden genannten Funktionen vorkommen, so umzuprogrammieren, dass die beiden Funktionen auf eine sichere Art und Weise verwendet werden.

Malware-Ausbruch: Net-Worm.Perl.Santy.a (PC-WELT Online, 22.12.2004)

Kritische Lücken in PHP (PC-WELT Online, 17.12.2004)

0 Kommentare zu diesem Artikel
8714