ZmEu & Co

Seit einiger Zeit schon sind Bots unterwegs, die Server daraufhin untersuchen, ob bestimmte Software installiert ist. Erkennbar ist dies oft am Vorhandensein typischer Webadressen. Beispielsweise wird "phpMyAdmin", eine beliebte Software zur Verwaltung von MySQL-Servern, oft in einem gleichnamigen Unterverzeichnis installiert. Wenn dem so ist, gibt es dort dann weitere Unterverzeichnisse, in denen sich bestimmte Dateien befinden. Man kann das Vorhandensein dieser Verwaltungssoftware also testen, indem man versucht, folgende Webseite aufzurufen:

www.irgendeinedomain.xy/phpMyAdmin/scripts/setup.php

Wenn der Server keine Fehlermeldung zurückliefert (404-Error - Seite nicht gefunden), kann man davon ausgehen, dass die Software installiert worden ist. Kennt man nun eine Schwachstelle dieser Software, kann man diese nutzen, um mit dem Server irgendeine Art von Unfug zu treiben.

Wer ist betroffen?
Woher kommen die Angreifer?
Was tun?