You are here: Home » Aktuelle Meldungen » Meldung
Sorry, this page is not translated yet.
Meldung Nr: RUS-CERT-1118

[Warnung/Angriff] Wettbewerb zum Website-Defacement angekündigt
(2003-07-04 08:41:44.3892+00) Druckversion

Quelle: http://cert.uni-stuttgart.de/archive/intrusions/2003/07/msg00019.html

Am kommenden Sonntag (2003-07-06) soll ein großer Website-Defacement-Wettbewerb stattfinden. Es ist daher mit vermehrten Angriffen auf Rechnersysteme zu rechnen, die einen Webserver betreiben. Webserveradministratoren sind angehalten, ihre Server umfassend auf Schwachstellen zu untersuchen und diese zu beheben.

Betroffene Systeme

  • vorrangig Rechnersysteme, die einen Webserver betreiben

Einfallstor
Voraussichtlich verwundbare Webserver, möglicherweise auch weitere, über eine Netzwerkverbindung erreichbare Dienste

Auswirkung
Je nach dem Grad der Verwundbarkeit eines Systems bis zur
Kompromittierung des beherbergenden Rechnersystems
(remote root compromise)

Eintrittswahrscheinlichkeit
Man kann davon ausgehen, daß bereits im Vorfeld als verwundbar erkannte Systeme verstärkt angegriffen werden. Sollten ernste Verwundbarkeiten vorhanden sein, muß von einer hohen Eintrittswahrscheinlichkeit ausgegangen werden.

Gefahrenpotential
mittel bis sehr hoch, je nach dem Grad der Verwundbarkeit und Sichtbarkeit eines gegebenen Systems.
(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung
Für kommenden Sonntag, den 6. Juli 2003 ist in den einschlägigen Kreisen ein Website-Defacement-Wettbewerb angekündigt. Während eines solchen Wettbewerbs versuchen Cracker meist mittels weitgehend automatischen Angriffsprogrammen, Rechnersysteme zu kompromittieren, die einen Webserver betreiben. Nach erfolgreicher Kompromittierung werden die Webseiten so verändert, daß die Kompromittierung des beherbergenden Systems offenbar wird.

Es kursieren bereits Bannerlisten (Listen mit den Begrüßungsbannern von Webservern, die Auskunft über Version und beherbergendes System geben) offenbar verwundbarer Webserver in einschlägigen Kreisen, die vermutlich während verstärkter Scanaktivität in den letzten Tagen aktuell zusammengestellt worden sind. Scanned wurde vornehmlich nach Webservern auf den Ports 80/tcp und 443/tcp.
Darüberhinaus wurde nach weiteren Netzdiensten und hier besonders nach Microsoft Datenbank-Severn auf den Ports 1433/tcp und 1434/tcp sowie nach MySQL-Servern auf dem Port 3306/tcp scanned.

Diese Umstände lassen erwarten, daß die Angriffe, die im Rahmen des Wettbewerbes vermutlich verstärkt durchgeführt werden, nicht nur Webserver sondern auch andere Systeme betreffen werden.

Workaround

  • Als Sofortmaßnahme können Systeme, die nicht auf dem neuesten Stand sind, vom Netz genommen oder abgeschaltet werden, bis sie entsprechend aktualisiert wurden.
    Achtung! Es muß davon ausgegangen werden, daß die Angriffe nach Beendigung des Wettbewerbes nicht abflauen. Insbesondere Systeme, die als verwundbar erkannt worden sind, sind weiterhin extrem gefährdet.

Gegenmaßnahmen

  • Update vorhandener Web- und Datenbankserver, da besonders mit Angriffen auf solche Systeme zu rechnen ist.
  • Installation aller Patches und Updates, die zu einem gegebenen System existieren. Da davon ausgegangen werden muß, daß nicht nur einzelne Serverdienste, sondern Rechnersysteme als ganzes angegriffen werden, gilt dies ausnahmslos für alle Systeme, die Dienste ins Internet anbieten sowie für alle angebotenen Dienste.

Weitere Information zu diesem Thema

(og)

Weitere Artikel zu diesem Thema:

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen... Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.