Hakerzy wykorzystują ustawienie PHP do umieszczania złośliwego kodu w witrynach

Hakerzy zaczęli wykorzystywać specjalne polecenie konfiguracyjne PHP celem zagnieżdżania szkodliwego kodu na stronach WWW. Modyfikują oni plik php.ini znajdujący się na przejętych serwerach webowych, maskując jednocześnie swoją aktywność przed zarządzającymi nimi administratorami.

Jak odkryła firma Sucuri Security, włamywacze zaczęli wstawiać szkodliwe oprogramowanie na opanowane przez siebie witryny WWW, skonfigurowane na dedykowanych oraz wirtualnych i prywatnych serwerach (VPS). Włamywacze modyfikują na serwerze główny plik konfiguracyjny php.ini (/etc/php/php.ini), dodając ustawienie: ;auto_append_file = "0ff". Zgodnie z dokumentacją PHP, polecenie auto_append_file określa nazwę pliku, który jest automatycznie parsowany po pliku głównym. Jest to polecanie będące odpowiednikiem znanej serwerowej funkcji PHP require(). Wyrażenie "Off" nie oznacza wyłączenia tego ustawienia - wskazuje plik (/tmp/0ff), który włamywacz tworzy na przejętym serwerze. Plik ten zawiera złośliwy iframe. Administratorowi serwera jest wtedy bardzo trudno określić pochodzenie szkodliwego kodu, ponieważ żaden z plików znajdujących się w katalogu web nie został zmieniony.

Chociaż firma Sucuri Security przejrzała jak dotąd tylko dedykowane oraz wirtualne i prywatne , naukowcy nie wykluczają, że włamywacze atakują w ten sposób również współużytkowane serwery, używane najczęściej do taniego hostingu. Sucuri Security radzi administratorom, aby usuwali nazwę pliku z ustawienia auto_append_file i skanowali okresowo swoje serwery, identyfikując w ten sposób również inne zagrożenia.

Zobacz również:

Jest też ogólna porada dla właścicieli zainfekowanych witryn, które zostały skonfigurowane na współużytkowanym serwerze hostingu. Należy wtedy sprawdzić czy inne witryny skonfigurowane na tym serwerze nie są również zainfekowane. Inna zalecana metoda kontroli polega na utworzeniu w głównym katalogu pustego pliku .php i następnie przeskanowaniu odpowiadającego mu adresu URL, używając do tego celu jednego z ogólnodostępnych, bezpłatnych skanerów online witryn WWW. jeśli skaner coś znajdzie należy poinformować o tym dostawcę hostingu.