Achtung: systematische Angriffe auf Internetserver mit PHP

PHPExploit5.xDer Heise-Newsticker berichtet über Versuche, Web-Server mit der Programmiersprache PHP zu kapern. Dabei wird offenbar ein erst vor Kurzem veröffentlichter Exploit eingesetzt, der eine Lücke in PHP 5 ausnutzt.

Diese Lücke ist zwar seit Mitte 2012 bekannt und seit PHP Version 5.3.12 und 5.4.2 beseitigt, aber offenbar gibt es immer noch anfällige Server, die mit älteren Versionen von PHP laufen.

Die Angriffe nutzen ein Problem aus, das nur aufkommt, wenn PHP nicht als Apache-Modul oder als FastCGI, sondern im CGI-Modus betrieben wird (CVE-2012-1823). Der Angreifer kann dabei dem PHP-Interpreter über die aufgerufene URL direkt Parameter über die Kommandozeile übergeben und so dann auch Schadcode einschleusen und ausführen lassen.

Der aktuelle Exploit von Kingcope nutzt dies, um dem Angreifer eine Shell auf dem Server bereit zu stellen. Ein Exploit ist ein fertiges Beispielprogramm zum Ausnutzen einer Sicherheitslücke im Quellcode (meist in C) – man muss es nur noch kompilieren, dann ist es einsatzbereit.

In den Log-Dateien angegriffener Server finden sich reihenweise Einträge wie:

POST /cgi-bin/php5?%2D%64+%61%6C%6C ..

die einen Angriffsversuch vermuten lassen. Dass dabei verschiedene User-Agent-Strings zum Einsatz kommen, deutet auf unterschiedliche Variationen des Exploits hin.

Wer also noch ungepatchte Web-Server mit PHP betreibt, sollte die jetzt dringend aktualisieren, bevor er ungebetenen Besuch bekommt.

Hinweis für Ubuntu und Debian: Die aktuelle PHP-Version von Ubuntu 12.04 LTS lautet zwar immer noch 5.3.10, wurde aber schon durch einen Backport des Patches gesichert, das gilt auch für die Debian-Distribution. Hier sollte das Einspielen der jeweils aktuellen PHP-Pakete einer noch gepflegten Distribution also ausreichen.

Über Klaus

Ich beschäftige mich schon seit 40 Jahren mit dem Internet. Meine Schwerpunkte sind Seitenerstellung, Programmierung, Analysen, Recherchen und Texte (auch Übersetzungen aus dem Englischen oder Niederländischen), Fotografie und ganz besonders die sozialen Aspekte der "Brave New World" oder in Merkel-Neusprech des "Neulands".
Dieser Beitrag wurde unter Internet, News, Sicherheit, Tipps und Tricks abgelegt und mit , , , , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.