Wiadomości

Hakerzy wykorzystują ustawienie PHP do umieszczania złośliwego kodu w witrynach

28 grudnia 2011 10:40,

.. » Bezpieczeństwo » Bezpieczeństwo sieci » Hakerzy/Cyberterroryzm

TAGI: Internet, bezpieczeństwo, hakerzy, WWW

Hakerzy zaczęli wykorzystywać specjalne polecenie konfiguracyjne PHP celem zagnieżdżania szkodliwego kodu na stronach WWW. Modyfikują oni plik php.ini znajdujący się na przejętych serwerach webowych, maskując jednocześnie swoją aktywność przed zarządzającymi nimi administratorami.

Zobacz też:

Jak odkryła firma Sucuri Security, włamywacze zaczęli wstawiać szkodliwe oprogramowanie na opanowane przez siebie witryny WWW, skonfigurowane na dedykowanych oraz wirtualnych i prywatnych serwerach (VPS). Włamywacze modyfikują na serwerze główny plik konfiguracyjny php.ini (/etc/php/php.ini), dodając ustawienie: ;auto_append_file = "0ff". Zgodnie z dokumentacją PHP, polecenie auto_append_file określa nazwę pliku, który jest automatycznie parsowany po pliku głównym. Jest to polecanie będące odpowiednikiem znanej serwerowej funkcji PHP require(). Wyrażenie "Off" nie oznacza wyłączenia tego ustawienia - wskazuje plik (/tmp/0ff), który włamywacz tworzy na przejętym serwerze. Plik ten zawiera złośliwy iframe. Administratorowi serwera jest wtedy bardzo trudno określić pochodzenie szkodliwego kodu, ponieważ żaden z plików znajdujących się w katalogu web nie został zmieniony.

Chociaż firma Sucuri Security przejrzała jak dotąd tylko dedykowane oraz wirtualne i prywatne serwery, naukowcy nie wykluczają, że włamywacze atakują w ten sposób również współużytkowane serwery, używane najczęściej do taniego hostingu. Sucuri Security radzi administratorom, aby usuwali nazwę pliku z ustawienia auto_append_file i skanowali okresowo swoje serwery, identyfikując w ten sposób również inne zagrożenia.

Jest też ogólna porada dla właścicieli zainfekowanych witryn, które zostały skonfigurowane na współużytkowanym serwerze hostingu. Należy wtedy sprawdzić czy inne witryny skonfigurowane na tym serwerze nie są również zainfekowane. Inna zalecana metoda kontroli polega na utworzeniu w głównym katalogu pustego pliku .php i następnie przeskanowaniu odpowiadającego mu adresu URL, używając do tego celu jednego z ogólnodostępnych, bezpłatnych skanerów online witryn WWW. jeśli skaner coś znajdzie należy poinformować o tym dostawcę hostingu.

Podziel się |

Ocena:

Twoja ocena:

+ dodaj komentarz

Komentarze (0)

Popularne Nowości

Reklama

Huawei celuje w rynek biznesowy

Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.

Hakerzy wykorzystują ustawienie PHP do umieszczania złośliwego kodu w witrynach

Komentarze (0)

Reklama

Huawei celuje w rynek biznesowy

Polecane

Opinie

Koniec Windows XP początkiem problemów?

Spokój i luz administratora