22.12.2004 13:31 | Wurm befällt Internetforen
Seit ein paar Tagen ist ein Wurm im Umlauf, welcher von Kaspersky Lab auf den Namen „Net-Worm.Perl.Santy.a“ getauft wurde. Dieser greift nicht wie üblich Systeme von Endanwendern an, sondern befällt Internetforen, die die Software phpBB verwenden, über eine schon länger bekannte Sicherheitslücke.
Der Schädling sucht sich seine Opfer über Google. Dort startet er eine Suchanfrage nach Webseiten und Foren, die mit phpBB generiert worden sind, und schickt eine Anfrage an die Server der identifizierten Seiten. Führen diese die Anfrage aus, nistet sich der Wurm auf den Server ein und überschreibt alle Dateien mit den Endungen .htm, .php, .asp, .shtm, .jsp und .phtm. Stattdessen fügt er folgenden Text ein:
Code:
This site is defaced!!! This site is defaced!!! NeverEverNoSanity WebWorm generation
Ein Update auf die Version 2.0.11 schließt die Sicherheitslücke, worauf die Entwickler von phpBB schon mehrfach hingewiesen haben.
google filtert schon:
Google filtert Anfragen von phpBB-Wurm
Suchmaschinenbetreiber Google hat Suchanfragen des Wurms Perl.Santy.a geblockt. Der Wurm nutzte die Suchmaschine, um Webserver zu finden, auf denen die Foren-Software phpBB installiert ist.
http://www.tecchannel.de/images/spacer.gif
Wie
http://www.tecchannel.de/housek/icons/i ... fberichtet greift der Wurm Webserver an, auf denen die phpBB-Softare in Versionen vor 2.011 installiert ist. Für diese älteren Versionen exisistiert ein Exploit, der Lücken in der Software ausnutzt.
http://www.tecchannel.de/images/spacer.gif
Wie Google-Sprecher Stefan Keuchel gegenüber tecCHANNEL mitteilte, hat der Suchmaschinenbetreiber dabei geholfen, die Ausbreitung des Wurms einzudämmen. Zu den technischen Details der Ausfilterung konnte Keuchel keine Angaben machen. Google dürfte den im Wurm enthaltenen String für die Suchanfrage gefiltert haben. Laut
http://www.tecchannel.de/housek/icons/i ... ifF-Secure variiert der Wurm die Suchanfrage aber auch nach zufälligem Muster. Die händische Eingabe - etwa von "viewtopic.php" - liefert bei Google nach wie vor Ergebnisse. (uba)
Anmelden
FAQ
Suche
