Web

 

Neue Santy-Varianten in Umlauf

28.12.2004

MÜNCHEN (COMPUTERWOCHE) - Nachdem die erste Version des Santy-Wurms (Computerwoche.de berichtete) sich nur über Google verbreitete und Websites mit installiertem phpBB-Bulletin-Board angriff, warnen Experten nun vor neuen Varianten des Schädlings, die auch die Suchen von Yahoo und AOL zur Ausbreitung nutzen und generell Websites attackieren, die in PHP programmiert sind, dabei aber wichtige Sicherheitsrichtlinien missachten.

Die französische Security-Site K-otik warnt vor "Santy.C" und "Santy.E", hat den Schädling aber aufgrund seiner im Vergleich zu Santy.A grundlegend anderen Funktionsweise umbenannt in "PhpInclude" (anderswo heißt er auch "Spyki" oder "Lexac"). Die neuen, allesamt in der Skriptsprache Perl verfassten Würmer greifen Websites an, die die PHP-Funktionen "include()" und "require()" in unsicherer Manier verwenden.

Beide Aufrufe kann man verwenden, um den Inhalt einer Datei in eine Web-Seite einzubinden. Wenn ein Designer die übergebenen Parameter nicht hinreichend prüft, kann ein Angreifer sie missbrauchen, um beliebigen Code einzuschleusen. Je nach Konfiguration des unterliegenden Webservers könnte er überdies die vollständige Kontrolle über das System erlangen. K-otik empfiehlt zur Stopfung dieser Lecks die Lektüre eines erläuternden Hintergrundartikels. (tc)