آخرین اخبار درمورد حفره ای امنیتی در تنظیمات PHP که به هکرها اجازه ارسال کد های مخرب به وب سایت ها را می دهد.
بر طبق گزارش منتشر شده در روز ۲۳ دسامبر ۲۰۱۱ توسط ITWorld، هکرها با سو استفاده از برخی از تنظیمات ویژه PHP واقع در فایلهایی مانند php.ini اقدام به ارسال کدهای مخرب به وب سایت های نمودند که بر روی سرورهای اختصاصی و یا VPS میزبانی می شدند.
موسسه Web security firm Sucuri Security زمانی که در حال بررسی چند وب سایت آلوده به iFrame بود، موفق به کشف این تکنیک گردید.
دیوید دِید از محققان این موسسه در بلاگ خود اظهار نموده : “ما متوجه شدیم که اکثر این سرور ها مورد تعرض قرار گرفتند، فایل اصلی php.ini و یا فایل های مشابه آن که تنظیمات اصلی PHP را در سرور مشخص می کنند، دارای تنظیمی به این صورت هستند : auto_append_file = “0ff” که همین تنظیم باعث بوجود آمدن این حفره امنیتی می شود.
بر طبق دستور راهنمای مرجع PHP ، دستور auto_append_file به صورت مستقیم نام فایلی را مشخص می کند که بعد از Parse شدن فایل اصلی بوجود می آید. این دستور در واقع معادل کلاینت ساید تابع PHP require() می باشد.
مقدار رشته “Off” در فایل php.ini در واقع نشان دهنده یک مسیر به فایل مذکور می باشد با عنوان /tmp/off که توسط هکر ها در سرور مورد تعرض ساخته میشود تا از آن برای نگهداری کدهای مخرب iframe استفاده نمایند.
این حقه باعث می شود تا مدیر وب سایت به سادگی نتواند منبع این کدهای تایید نشده را پیدا کند زیرا هیچ یک از فایل هایی که در کد ها به آن اشاره می شود مسیر واقعی ندارند.
دیوید دِید در این باره اضافه می کند : ” ما تنها به تعداد اندکی از سرور هایی که به این نوع از بدافزار آلوده شده اند، دسترسی داریم، اما آمارها هزاران وب سایت هک شده را نشان می دهند که احتمالا به این روش و یا روش های مشابه آلوده گشته اند.”
همانگونه که اشاره شد، موسسه امنیتی Sucuri تنها به VPS ها و سرورهای اختصاصی در این زمینه مشکوک شده است، اما محققان هنوز احتمال آلوده شدن سرورهای اشتراکی که برای میزبانی ارزان قیمت استفاده می شوند را کاملا رد نکرده اند.
ایلد شرف از پژوهشگران قسمت امنیت Web security firm Websense در این باره اظهار نموده : “این روش تنها یکی از حفره های امنیتی مورد استفاده برای حک میلیون ها وب سایت در سطح اینترنت است. ما با مدیران وب سرورها توصیه می کنیم اسم فایل های مهم خود را از auto_append_file حذف کرده و سرور خود را جهت بررسی سایر حفره های امنیتی و مخرب توسط نرم افزار های امنیتی قدرتمند Scan نمایند. همچنین تهیه نسخه پشتیبان به صورت مستمر نیز از نکات کاملا حیاتی است.
دنیس سینگوبکو، پژوهشگر مستقل رشته امنیت و همچنین مالک وب سایت Unmask Parasites website scanner، هنوز قطعا روش حمله auto_append_file را تایید نکرده اما در این باره اظهار نموده که روش های بسیار مشابه ای برای سؤاستفاده از فایل php.ini را مشاهده کرده و احتمال بروز چنین حمله نیز زیاد می باشد.
او همچنین توصیه می کند : ” تمام فایل های مهم باید با روش Version Control کنترل و محافظت شوند تا هم امکان شناسایی تغییرات ناخواسته برروی فایل وجود داشته باشد و هم بتوان در مواقع نیاز آن را به حالت سالم اولیه بازگرداند.همچنین Scan نمودن مستمر وب سرور، پروتکل FTP (پروتکل انتقال داده)و سایر لاگ های مهم برای بررسی احتمال وجود فعالیت های مشکوک از نکات بسیار مهم برای حفظ امنیت وب سایت می باشد.
یکی دیگر از راهکار های بررسی امنیت وب سایت این است که ابتدا یک فایل خالی با فرمت .php ساخته و آن را در سطح بالا ترین پوشه وب سایت قرار دهید و آدرس URL خود را توسط سایت های ارائه دهنده Website Scanner رایگان چک نمایید، و در صورتی که جواب هریک از این تست ها مثبت بود موضوع را شرکت ارائه دهنده میزبانی خود مطرح نمایید تا از وجود هرگونه فعالیت مشکوک بر روی وب سرور شما جلوگیری شود.”