Neue „Santy“-Variante attackiert PHP-Scripte
Vor wenigen Tagen berichteten wir über den Wurm „Santy“, der über eine Sicherheitslücke in der Forensoftware phpBB Webseiten lahm legte. Nun sind neue Varianten des Wurms im Umlauf, die auch normale PHP-Scripte angreifen.
Laut Symantec sind mittlerweile drei Varianten des Wurms im Umlauf. Er verbreitet sich immer noch über Suchmaschinen, jedoch beschränkt er sich dabei nicht mehr auf Google. Auch die Suchmaschine von Yahoo ist unter anderem betroffen.
Er attackiert Scripte, die Teile ihres Codes von externen Webseiten laden. Werden dabei die Übergabeparameter nicht ausreichend überprüft, kann fremder Code auf den Servern ausgeführt werden. Da der Wurm sich wahllos verbreitet, erzeugt er eine hohe Last bei allen attackierten Servern - dabei ist es irrelevant ob der Angriff erfolgreich war oder nicht.
Einige Varianten des Wurms versuchen außerdem noch Dateien mit dem Muster „ssh.*“ und „bot.*“ zu entfernen.