Zehntausende Webseiten durch Wurm geknackt
25.12.2004
Herausgeber: netzeitung.de
Seit einigen Tagen macht ein neuer Wurm namens Santy das Internet unsicher. Im Visier hat er laut Medienberichten vornehmlich Webforen, vor allem solche, die auf phpBB-Systemen beruhen. Diese weisen demnach in einigen Versionen eine schwere Sicherheitslücke auf, die sich der Schädling zunutze macht.
Laut der Computerzeitschrift «c't» hat der Wurm durch gezielte Suche bei Google mehr als 40.000 verwundbare Web-Seiten aufgespürt und verunstaltet, darunter die Seiten von Softmaker, Men's Health, des Zoos München und der Zeitschrift Connect. Google habe daraufhin die weitere Ausbreitung gestoppt, hieß es, indem die Suchanfragen des Wurms ausgefiltert worden seien.
Weitere Versionen im UmlaufDer Wurm attackiert aber weiter - über die Suche von Yahoo. «c't» empfiehlt daher alle Betreiber von phpBB-Systemen schnellstmöglich auf die Version 2.0.11 umzustellen oder zumindest den im phpBB-Forum beschriebenen Workaround einzusetzen. Die Experten rechnen demnach damit, dass weiter optimierte Versionen des im Quelltext verfügbaren Santy-Wurms «bestimmt» bald im Umlauf sind.
Suche nach Schwachstellen«c't» berichtet indessen von zahlreichen Berichten von attackierten Servern. Der Wurm verbinde sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet seien, die der Wurm kontrollie, schreibt die Zeitschrift in ihrer Online-Ausgabe bei «heise.de». Über spezielle Kommandos könnten diese «Zombies» Port-Scans und DoS-Angriffe durchführen.
Der Wurm sucht dem Bericht zufolge «systematisch» Schwachstellen in PHP-Skripten, um sich zu verbreiten. In die Skripte schreibe er dann einen Code. Überprüfe das Skript den Inhalt nicht ausreichend, würden dann unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Die ständigen Anfragen des Wurms erzeugten schließlich eine «beträchtliche Last auf dem Server». (nz)