هکرها با استفاده از برخی تنظیمات PHP اقدام به ارسال کدهای مخرب به وب سایت ها می کنند.

آخرین اخبار درمورد حفره ای امنیتی در تنظیمات PHP که به هکرها اجازه ارسال کد های مخرب به وب سایت ها را می دهد.

بر طبق گزارش منتشر شده در روز ۲۳ دسامبر ۲۰۱۱ توسط ITWorld، هکرها با سو استفاده از برخی از تنظیمات ویژه PHP  واقع در فایلهایی مانند php.ini اقدام به ارسال کدهای مخرب به وب سایت های نمودند که بر روی سرورهای اختصاصی و یا VPS میزبانی می شدند.

موسسه  Web security firm Sucuri Security  زمانی که در حال بررسی چند وب سایت آلوده به iFrame بود، موفق به کشف این تکنیک گردید.

دیوید دِید از محققان این موسسه در بلاگ خود اظهار نموده : “ما متوجه شدیم که اکثر این سرور ها مورد تعرض قرار گرفتند، فایل اصلی php.ini و یا فایل های مشابه آن که تنظیمات اصلی PHP را در سرور مشخص می کنند، دارای تنظیمی به این صورت هستند : auto_append_file = “0ff” که همین تنظیم باعث بوجود آمدن این حفره امنیتی می شود.

بر طبق دستور راهنمای مرجع PHP ، دستور auto_append_file به صورت مستقیم نام فایلی را مشخص می کند که بعد از Parse شدن فایل اصلی بوجود می آید. این دستور در واقع معادل کلاینت ساید تابع PHP require() می باشد.

مقدار رشته “Off” در فایل php.ini در واقع نشان دهنده یک مسیر به فایل مذکور می باشد با عنوان /tmp/off که توسط هکر ها در سرور مورد تعرض ساخته میشود تا از آن برای نگهداری کدهای مخرب iframe استفاده نمایند.

این حقه باعث می شود تا مدیر وب سایت به سادگی نتواند منبع این کدهای تایید نشده را پیدا کند زیرا هیچ یک از فایل هایی که در کد ها به آن اشاره می شود مسیر واقعی ندارند.

دیوید دِید در این باره اضافه می کند : ” ما تنها به تعداد اندکی از سرور هایی که به این نوع از بدافزار آلوده شده اند، دسترسی داریم، اما آمارها هزاران وب سایت هک شده را نشان می دهند که احتمالا به این روش و یا روش های مشابه آلوده گشته اند.”

همانگونه که اشاره شد، موسسه امنیتی Sucuri تنها به VPS ها و سرورهای اختصاصی در این زمینه مشکوک شده است، اما محققان هنوز احتمال آلوده شدن سرورهای اشتراکی که برای میزبانی ارزان قیمت استفاده می شوند را کاملا رد نکرده اند.

ایلد شرف از پژوهشگران قسمت امنیت Web security firm Websense در این باره اظهار نموده : “این روش تنها یکی از حفره های امنیتی مورد استفاده برای حک میلیون ها وب سایت در سطح اینترنت است. ما با مدیران وب سرورها توصیه می کنیم اسم فایل های مهم خود را از auto_append_file حذف کرده و سرور خود را جهت بررسی سایر حفره های امنیتی و مخرب توسط نرم افزار های امنیتی قدرتمند Scan  نمایند. همچنین تهیه نسخه پشتیبان به صورت مستمر نیز از نکات کاملا حیاتی است.

دنیس سینگوبکو، پژوهشگر مستقل رشته امنیت و همچنین مالک وب سایت Unmask Parasites website scanner، هنوز قطعا روش حمله auto_append_file را تایید نکرده اما در این باره اظهار نموده که روش های بسیار مشابه ای برای سؤاستفاده از فایل php.ini  را مشاهده کرده و احتمال بروز چنین حمله نیز زیاد می باشد.

او همچنین توصیه می کند : ” تمام فایل های مهم باید با روش Version Control  کنترل و محافظت شوند تا هم امکان شناسایی تغییرات ناخواسته برروی فایل وجود داشته باشد و هم بتوان در مواقع نیاز آن را به حالت سالم اولیه بازگرداند.همچنین Scan نمودن مستمر وب سرور، FTP و سایر لاگ های مهم برای بررسی احتمال وجود فعالیت های مشکوک از نکات بسیار مهم برای حفظ امنیت وب سایت می باشد.

یکی دیگر از راهکار های بررسی امنیت وب سایت این است که ابتدا یک فایل خالی با فرمت .php  ساخته و آن را در سطح بالا ترین پوشه وب سایت قرار دهید و آدرس URL خود را توسط سایت های ارائه دهنده Website Scanner رایگان چک نمایید، و در صورتی که جواب هریک از این تست ها مثبت بود موضوع را شرکت ارائه دهنده میزبانی خود مطرح نمایید تا از وجود هرگونه فعالیت مشکوک بر روی وب سرور شما جلوگیری شود.”

شما ممکن است علاقه داشته باشید:

یک فکر بر روی “هکرها با استفاده از برخی تنظیمات PHP اقدام به ارسال کدهای مخرب به وب سایت ها می کنند.”

  1. p34c3 گفت:

    سلام دوست عزیز

    هک ب این صورت نوشته میشه توی بعضی جملات از حک استفاده کردید ک این باعث میشه چند تا مبتدی حک رو ب این اسم بشناسن

پاسخ دهید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

شبکه های مجازی ما

دسته بندی ها