Gestern hatte ich eine fast schlaflose Nacht, fast eine Panik-Attacke, weil ich entdeckt habe, dass mein Server regelmäßig von Würmern attackiert wird, die nach einer derben Sicherheits-Lücke bei Web-Programmen suchen, die eine XML-RPC Libary verwenden.
Es ist eigentlich ein sehr alter Hut, wie ich schnell herausfand, denn bekannt wurde diese Sicherheitslücke schon Mitte 2005. Englische Detail Infos hier. Und ich hatte auch schon davon gehört.
Aber ursprünglich dachte ich, dass nur die XML-RPC Libary von PEAR betroffen ist. Das war mir relativ egal, weil ich die nicht im Einsatz habe. PEAR habe ich auch relativ bald aktualisiert. Aber gestern habe ich - zufällig - verschiedene, verdächtige Log-Einträge meiner Apache Logs gefunden.
Ich habe entdeckt, dass phpAdsNew auch davon betroffen war. Eher durch Zufall, weil ich über komische Einträge wie
-
80.40.126.41 - - [08/Jan/2006:04:26:37 +0100] POST /ads/adxmlrpc.php HTTP/1.1? 200 326 - Internet Explorer 6.0?
- in einem Apache Log gestoßen bin. Heute waren bei einer Mini-Site 13 Aufrufe auf die Datei von ca. 7 verschiedenen IPs zuf finden. Nach einer genaueren Analyse bin ich auf massenhaft ähnliche Einträge gestoßen.
Da war natürlich Feuer am Dach. Sind sie (die bösen Hacker) schon bei mir eingebrochen? Was haben sie angestellt? Dann habe ich entdeckt, dass ich - auch eher zufällig - phpAdsNew schon im Herbst 2005 auf eine neuere Version gebracht habe. Also keine akute Gefahr für mich.
Nach einer ordentlichen Surf-Session, habe ich weiter Infos entdeckt. Sinn und Zweck der Würmer ist es, über die XML-RPC Schnittstelle bösen Code einzuschleußen. Wenn die Sicherheitslücke da ist, kann dieser Code auf dem Server ausgeführt werden. Dieser böse Code versucht dann, z.B. ein Programm von einem externen Server nachzuladen und auszuführen.
Wieder einmal zum Ärgern: Diese Sicherheitslücke ist nur deswegen entstanden, weil Programmierer zu faul waren (zu wenig Zeit und/oder Ahnung hatten), einen Mini-Sicherheitscheck zu machen. (In diesem Fall gehts darum, einfache Anführungszeichen zu escapen.)
Interessant finde das Modul modsecurity für den Apache Server. Das ist so eine Art Software-Firewall, die von vornherein verdächtige Zugriffe blockt. Werde das Ding mal bei Gelegenheit näher anschauen.
Handlers Diary verrät, wie man darauf kommt, ob man davon betroffen ist.
Wenn man eine alte Version der folgenden Programme laufen hat, ist man möglicherweise auch betroffen:
