Schneeball-Effekt: nur ein anfälliges PHP-Script genügt
Für die Manipulation von mehreren hundert Websites, die auf einem Server liegen, genügt bereits eine Schwachstelle in einem einzigen PHP-Script einer Website sowie eine nachlässige Server-Konfiguraton.
Im Juni wurden in Italien mehr als 1000 Websites so präpariert, dass sie die Rechner ihrer Besucher über Sicherheitslücken im Browser mit Malware verseuchten. Dies geschah durch Einfügen eines versteckten iFrames, der HTML- und Javascript-Code von einem anderen Server nachlud. Letzterer ist einer von etlichen so genannten MPack-Servern. Das sind Rechner, die mit dem Angriffs-Toolkit "MPack" präpariert sind, eine im Untergrund kommerziell angebotene Sammlung von PHP-Scripten, ähnlich dem "WebAttacker"-Toolkit.
Die manipulierten Websites lagen fast alle auf einem von ganz wenigen Servern bei einem großen Hosting-Provider. Die Manipulation aller auf einem Server liegenden Websites ist möglich, wenn die Konfiguration des Servers aus Kostengründen vernachlässigt wird. Wie das Internet Storm Center berichtet, genügt einem Angreifer dann ein einziges anfälliges PHP-Script auf einer der Websites, um auch alle anderen Websites auf dem Server verändern zu können.
Die Server werden mit der quelloffenen Web-Server-Software Apache betrieben. Aus Kostengründen wird PHP als Apache-Modul ausgeführt (mod_php), nicht als CGI-Programm. Das erfordert weniger Rechenleistung, es können also mehr Websites auf einem Server betrieben werden. Andernfalls müsste der Provider mehr Geld in Hardware investieren. Es werden also vor allem Billig-Provider Ziel solcher Angriffe sein.
Der Apache-Prozess benötigt mindestens Leserechte für alle Verzeichnisse auf dem Server, in denen Web-Seiten liegen, um diese anzeigen zu können. Wenn dabei jedoch die Zugriffsrechte falsch gesetzt werden, was nicht selten der Fall ist, hat das PHP-Modul auch Schreibrechte in allen Verzeichnissen. Findet ein Angreifer ein einziges PHP-Script auf einer der Websites, kann er darüber Schreibzugriff auf alle Seiten in allen Websites auf diesem Server erlangen.
Im Falle des MPack-Angriffs schleust er ein PHP-Script ein, das alle Verzeichnisse auf dem Server durchgeht und am Ende aller Web-Seiten einen iFrame einfügt. Der mehrfach verschleierte Javascript-Code, der von einem irgend wo auf der Welt stehenden MPack-Server nachgeladen wird, sucht dann im Browser der Besucher nach bekannten Sicherheitslücken und schleust im Erfolgsfall beliebige Malware nach Wahl des Angreifers ein.
Angriffe dieser Art sind auch bei deutschen Providern möglich - nicht ohne Grund liegt Deutschland in der Rangliste der Malware verbreitenden Websites noch vor Italien auf Platz vier.
