Botnet van webservers door fout in PHP

Beveiligingsfirma Imperva waarschuwt voor een nieuw Indonesisch botnet. In plaats van thuiscomputers over te nemen, gebruikt het een lek in PHP om webservers in zombies te veranderen.

Normaal gezien wordt een DDoS-aanval (distributed denial of service) door besmette thuiscomputers uitgevoerd. Door alle ‘zombies’ tegelijkertijd naar een IP-adres te verwijzen, maakt een botnet zijn doelwit onbereikbaar.

Een bug in de PHP-scripttaal heeft een (vermoedelijk) Indonesische hacker er echter toe in staat gesteld ongeveer driehonderd webservers over te nemen. Het zou om zowel Apache- als Microsoft IIS-servers gaan.

Krachtpaardjes
Dat een botnet slechts driehonderd machines overneemt is op het eerste gezicht niet zo indrukwekkend. De gemiddelde DDoS-aanval gebruikt immers duizenden Windowscomputers.

Maar webservers zijn niet zomaar computers. Omdat ze vaak meerdere websites draaien, beschikken ze over een grote bandbreedte. Daarbij komt dat de meeste servers (Linux Apache) geen antivirus draaien, aangezien het bijna onmogelijk is ze via het web te besmetten.

Voeg daaraan toe dat webservers permanent online zijn en je hebt de perfecte formule voor een Ferrari onder botnetzombies. Zo zou één server gemakkelijk het DDoS-equivalent van vijftig thuiscomputers kunnen zijn.

Onopgemerkt
Wat de zaak nog erger maakt, is dat webservers gewoonlijk veel verkeer te verwerken krijgen. Daardoor kunnen serverbeheerders moeilijk het onderscheid maken tussen legitiem verkeer en verdachte activiteiten.

Het botnet zou via een Indonesische website vrij te gebruiken zijn. Je geeft gewoon een IP-adres en netwerkpoort in en de besmette webservers richten hun pijlen op jouw doelwit. Er staat wel een boodschap bij: “Niet op vrienden gebruiken”.

Vriendelijke jongens, die Indonesiërs.