Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Hakerzy wykorzystują ustawienie PHP do...

Hakerzy wykorzystują ustawienie PHP do umieszczania złośliwego kodu w witrynach

Hakerzy zaczęli wykorzystywać specjalne polecenie konfiguracyjne PHP celem zagnieżdżania szkodliwego kodu na stronach WWW. Modyfikują oni plik php.ini znajdujący się na przejętych serwerach webowych, maskując jednocześnie swoją aktywność przed zarządzającymi nimi administratorami.

Jak odkryła firma Sucuri Security, włamywacze zaczęli wstawiać szkodliwe oprogramowanie na opanowane przez siebie witryny WWW, skonfigurowane na dedykowanych oraz wirtualnych i prywatnych serwerach (VPS). Włamywacze modyfikują na serwerze główny plik konfiguracyjny php.ini (/etc/php/php.ini), dodając ustawienie: ;auto_append_file = "0ff". Zgodnie z dokumentacją PHP, polecenie auto_append_file określa nazwę pliku, który jest automatycznie parsowany po pliku głównym. Jest to polecanie będące odpowiednikiem znanej serwerowej funkcji PHP require(). Wyrażenie "Off" nie oznacza wyłączenia tego ustawienia - wskazuje plik (/tmp/0ff), który włamywacz tworzy na przejętym serwerze. Plik ten zawiera złośliwy iframe. Administratorowi serwera jest wtedy bardzo trudno określić pochodzenie szkodliwego kodu, ponieważ żaden z plików znajdujących się w katalogu web nie został zmieniony.

Chociaż firma Sucuri Security przejrzała jak dotąd tylko dedykowane oraz wirtualne i prywatne serwery, naukowcy nie wykluczają, że włamywacze atakują w ten sposób również współużytkowane serwery, używane najczęściej do taniego hostingu. Sucuri Security radzi administratorom, aby usuwali nazwę pliku z ustawienia auto_append_file i skanowali okresowo swoje serwery, identyfikując w ten sposób również inne zagrożenia.

Zobacz również:

  • WordPress 6.5 trafia na rynek. Oto 5 najważniejszych zmian
  • Usługa WhatsApp uruchamiana na urządzeniach iOS będzie bardziej bezpieczna
  • Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie

Jest też ogólna porada dla właścicieli zainfekowanych witryn, które zostały skonfigurowane na współużytkowanym serwerze hostingu. Należy wtedy sprawdzić czy inne witryny skonfigurowane na tym serwerze nie są również zainfekowane. Inna zalecana metoda kontroli polega na utworzeniu w głównym katalogu pustego pliku .php i następnie przeskanowaniu odpowiadającego mu adresu URL, używając do tego celu jednego z ogólnodostępnych, bezpłatnych skanerów online witryn WWW. jeśli skaner coś znajdzie należy poinformować o tym dostawcę hostingu.
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas