anonymous@RULINUX.NET~# Last login: 2024-11-05 15:36:11
Регистрация Вход Новости | Разметка | Пользователи | Галерея | Форум | Статьи | Неподтвержденное | Трекер | Правила форума | F.A.Q. | Ссылки | Поиск
[#] [Добавить метку] [Редактировать]
Скрыть

Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP

История со взломом wiki-сайта проекта PHP получила продолжение. На нескольких китайских ресурсах, посвященных компьютерной безопасности, появилось заявление (сообщение на китайском языке, перевод на английский) об успешном проведении подстановки кода в исходные тексты интерпретатора PHP. В уведомлении утверждается, что кроме wiki.php.net был получен доступ к другим хостам инфраструктуры PHP, а также перехвачены параметры входа для нескольких аккаунтов участников проекта. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.

Интегрированные в SVN-репозиторий проекта изменения носят демонстрационный характер и не представляют угрозы (если конечно, это единственное внесенное изменение, в чем сомневаются эксперты компании VUPEN). В частности, в код PHP (файл ext/standardcredits.c) было интегрировано безобидное упоминание вымышленного разработчика "Wolegequ Gelivable" в блок с перечислением участников проекта. Изменение внесено в trunk-репозиторий PHP, которое почти сразу было отменено и не отразилось на конечных релизах (коммит носил абсурдный характер и его трудно было не заметить). Изменение было внедрено в конце декабря и широко не афишировалось, разработчик чей аккаунт был взломан поменял пароли, а разбирательство причин перехвата пароля в то время не привело как каким-либо результатам.

Что касается взлома wiki.php.net, то для проникновения была использована уязвимость в wiki-движке DokuWiki, которая, судя по всему, остается неисправленной, так как последние известные уязвимости в DokuWiki, которые могли привести к подобного рода атакам, датированы 2006 и 2005 годами (возможен также вариант, что движок wiki.php.net не обновлялся последние 5 лет). Для упрощения дальнейших проникновений в систему совершившие атаку установили на сервер web-shell PHPHC. Пока не понятно, каким образом атакующие смогли поднять свои привилегии в системе, с одной стороны на сервере wiki.php.net было использовано устаревшее Linux-ядро, последнее обновление которого было произведено в 2009 году (в 2010 году в ядре было устранено несколько опасных уязвимостей), но с другой стороны ядро было собрано с усиливающими безопасность патчами GRSecurity.

PHP является лакомым куском для внедрения бэкдора - число установок mod_php исчисляется десятками миллионов, интерпретатор используется в таких крупных проектах, как Facebook, Yahoo, Wikipedia и WordPress.


>>> Подробнее

cetjs(*) (2011-03-22 14:37:37)


Подтверждено: cetjs(*) (2011-03-22 14:37:51)

[Ответить на это сообщение]

Этот тред читают 1 пользователь:
Анонимных: 1
Зарегистрированных: 0




(c) 2010-2020 LOR-NG Developers Group
Powered by TimeMachine

Valid HTML 4.01 Transitional Правильный CSS!