Botnet ronselt webservers via oud php-lek

Door: | 13 augustus 2010 15:08

Apps & Software

Een botnet zet webservers in als zombies door ze te kraken via een gat in een verouderde versie van phpMyAdmin. De bot voert vervolgens SSH-aanvallen uit op andere systemen.

De misbruikte bug in phpMyAdmin, een programma waarmee het beheer van MySQL-servers wordt geregeld, is afgelopen april gepatcht. Security-experts waarschuwen dat het lek in de laatste paar weken steeds meer wordt misbruikt. Sommige beveiligingsbedrijven signaleren een verzesvoudiging in het aantal aanvallen.

Besmetting

"De bot voert [na binnenkomst via het php-lek - red.] een brute force SSH-aanval uit op willekeurige ip-adressen die worden aangewezen door de botnetherder", waarschuwt een beveiliger. De bot (dd_ssh) installeert zichzelf en speurt dan het internet af naar systemen die beveiligd zijn middels het SSH-protocol (secure shell).

Die worden vervolgens aangevallen om de inloggegevens ervan te achterhalen, waarna de bot zichzelf weer kan repliceren. Het gaat hier om systemen uiteenlopend van Linux-servers tot routers. SSH is een protocol dat een beveiligde verbinding bewerkstelligt tussen twee apparaten in een netwerk.

Brute force

De Britse ict-nieuwssite The Register stelt dat het voor hackers een voordelige keus is om een netwerk van webservers in te zetten voor brute force-aanvallen. Dat scheelt hun namelijk bandbreedte en kosten. Webservers hebben immers veel meer capaciteit, zowel qua rekenvermogen als qua netwerkverbindingen, dan reguliere zombie-pc's.

Bijkomend voordeel van deze aanpak is dat de bron van de aanval, de besmette website, wordt afgeschermd van mogelijke slachtoffers. Iedere bot probeert namelijk maar een paar keer in te loggen op een met SSH beveiligd systeem voordat de volgende wordt geprobeerd. De bot laat zoveel mogelijk combinaties los op het doelwit om het wachtwoord van de sitebeheerder te achterhalen.

De aanval is niet alleen een bedreiging voor sites met oude versies van phpMyAdmin, waarin het allereerst misbruikte lek zit. Het kan ook lastig zijn voor sites die niet direct kwetsbaar zijn voor de exploit zelf, maar die overspoeld worden door het SSH-component van de botnetaanval. De vloedgolf aan aanvragen voor admin.php, setup.php en andere php-bestanden kan de impact hebben van een echte denial of service-aanval (DoS) en een site dus onbereikbaar maken.

Filteren en updaten

Volgens beveiligingsexperts van het SANS Technology Institute kunnen de aanvallen afgeslagen worden met DenyHost, een open source-script waarmee ip-adressen van meer dan 70.000 malafide ip-adressen wordt geblokkeerd. Het merendeel van de tot op heden waargenomen aanvallen komt vanaf ip-adressen in Azië en Oost-Europa.

The Register merkt op dat het waarschijnlijk effectiever is om de met SSH beveiligde systemen te voorzien van versleutelde wachtwoorden die moeilijker te kraken zijn dan simpele wachtwoorden. Beheerders wordt geadviseerd de op hun sites gebruikte phpMyAdmin te updaten naar de laatste versie. Beide adviezen nemen niet het risico weg van het DoS-effect door de vloedgolf vanaf legitieme maar besmette websites.

Update:

Verduidelijking toegevoegd dat de malware een oud lek in phpMyAdmin misbruikt om binnen te komen en dat het vervolgens brute force SSH-aanvallen onderneemt om op andere systemen binnen te komen.

Bron: Webwereld.nl