Berny
21.12.2004, 21:50
Mehrere deutsche Web-Auftritte gehackt [2. Update]
Web-Auftritten, die unter dem Content Management System N/X laufen, droht eventuell die Gefahr eines so genannten Defacements, also der böswilligen Umgestaltung der Startseite. Betroffen waren nach Kenntnis von heise Security bislang die Seiten von Softmaker, Men's Health, des Zoos München, der Zeitschrift Connect und die Homepage von N/X selbst. Einige der Seiten sind mittlerweile wieder hergestellt. Sehr wahrscheinlich sind auch andere Betreiber vom Umbau ihrer Seiten betroffen, die dann ungefähr folgendermaßen aussieht:
Defaced
Durch welche Schwachstelle es den bislang Unbekannten gelang, die Inhalte zu verändern, ist zurzeit nicht klar. Die Entwickler von N/X weisen darauf hin, dass ihr CMS von den kürzlich gemeldeten Schwachstellen in PHP nicht betroffen ist. Aus dem Text "NeverEverNoSanity" im Defacement lässt sich schließen, dass eine Benutzereingabe wahrscheinlich nicht richtig gefiltert wird und ein Angreifer so möglicherweise Befehle einschleusen und ausführen kann, ähnlich wie bei SQL-Injection.
Update
Die Defacements entpuppen sich nach und nach als Angriffswelle eines Wurms gegen Seiten, die die Forensoftware phpBB einsetzen. Laut der Erklärung auf der Homepage von phpBB dringt der Wurm über die seit vier Wochen bekannte viewtopic-Sicherheitslücke ein und überschreibt Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm mit eigenen Inhalten. Zum Finden von Seiten, die phpBB einsetzen, benutzt der Wurm Google, indem er nach URLs sucht, die die Zeichenkette "viewtopic.php" enhalten. In phpBB 2.0.11 ist die Lücke beseitigt. Auf die Schnelle hilft auch der auf phpBB.com veröffentlichte Workaround.
Mittlerweile hat Kaspersky eine Warnung veröffentlicht. Die Antviren-Spezialisten sprechen angesichts der raschen Ausbreitung bereits von einer Epedemie und haben den Wurm auf Net-Worm.Perl.Santy.a getauft. Die Erklärungen auf den Kaspersky-Seiten decken sich weitgehend mit den von heise Security präsentierten Informationen. (dab/c't)
Hinweis meinerseits:
Es handelt sich vermutlich um einen der größten Wurmangriff im Internet der letzten Zeit. phpBB ist eine beliebte Forensoftware und wird auch dementsprechend verwendet, jedoch kaum ein Forenbetreiber benutzt Updates.
Ein weiteres teuflisches Detail ist, dass es über diesen Web anscheinend möglich ist, auf den ganzen Server Zugriff zu bekommen.
Dies würde die Folge haben, dass auch Homepagebetreiber betroffen sein könnten, die nicht phpBB verwenden, aber auf einem Server lieben, wo ein anderer Kunde phpBB verwendet.
Es sollten daher alle Homepagebetreiber trachten, das entsprechende Update zu installieren.
Für Programmierer gibt es ein Workaround unter http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513
Web-Auftritten, die unter dem Content Management System N/X laufen, droht eventuell die Gefahr eines so genannten Defacements, also der böswilligen Umgestaltung der Startseite. Betroffen waren nach Kenntnis von heise Security bislang die Seiten von Softmaker, Men's Health, des Zoos München, der Zeitschrift Connect und die Homepage von N/X selbst. Einige der Seiten sind mittlerweile wieder hergestellt. Sehr wahrscheinlich sind auch andere Betreiber vom Umbau ihrer Seiten betroffen, die dann ungefähr folgendermaßen aussieht:
Defaced
Durch welche Schwachstelle es den bislang Unbekannten gelang, die Inhalte zu verändern, ist zurzeit nicht klar. Die Entwickler von N/X weisen darauf hin, dass ihr CMS von den kürzlich gemeldeten Schwachstellen in PHP nicht betroffen ist. Aus dem Text "NeverEverNoSanity" im Defacement lässt sich schließen, dass eine Benutzereingabe wahrscheinlich nicht richtig gefiltert wird und ein Angreifer so möglicherweise Befehle einschleusen und ausführen kann, ähnlich wie bei SQL-Injection.
Update
Die Defacements entpuppen sich nach und nach als Angriffswelle eines Wurms gegen Seiten, die die Forensoftware phpBB einsetzen. Laut der Erklärung auf der Homepage von phpBB dringt der Wurm über die seit vier Wochen bekannte viewtopic-Sicherheitslücke ein und überschreibt Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm mit eigenen Inhalten. Zum Finden von Seiten, die phpBB einsetzen, benutzt der Wurm Google, indem er nach URLs sucht, die die Zeichenkette "viewtopic.php" enhalten. In phpBB 2.0.11 ist die Lücke beseitigt. Auf die Schnelle hilft auch der auf phpBB.com veröffentlichte Workaround.
Mittlerweile hat Kaspersky eine Warnung veröffentlicht. Die Antviren-Spezialisten sprechen angesichts der raschen Ausbreitung bereits von einer Epedemie und haben den Wurm auf Net-Worm.Perl.Santy.a getauft. Die Erklärungen auf den Kaspersky-Seiten decken sich weitgehend mit den von heise Security präsentierten Informationen. (dab/c't)
Hinweis meinerseits:
Es handelt sich vermutlich um einen der größten Wurmangriff im Internet der letzten Zeit. phpBB ist eine beliebte Forensoftware und wird auch dementsprechend verwendet, jedoch kaum ein Forenbetreiber benutzt Updates.
Ein weiteres teuflisches Detail ist, dass es über diesen Web anscheinend möglich ist, auf den ganzen Server Zugriff zu bekommen.
Dies würde die Folge haben, dass auch Homepagebetreiber betroffen sein könnten, die nicht phpBB verwenden, aber auf einem Server lieben, wo ein anderer Kunde phpBB verwendet.
Es sollten daher alle Homepagebetreiber trachten, das entsprechende Update zu installieren.
Für Programmierer gibt es ein Workaround unter http://www.phpbb.com/phpBB/viewtopic.php?f=14&t=240513