Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP
Интегрированные в SVN-репозиторий проекта изменения носят демонстрационный характер и не представляют угрозы (если конечно, это единственное внесенное изменение, в чем сомневаются эксперты компании VUPEN). В частности, в код PHP (файл ext/standardcredits.c) было интегрировано безобидное упоминание вымышленного разработчика "Wolegequ Gelivable" в блок с перечислением участников проекта. Изменение внесено в trunk-репозиторий PHP, которое почти сразу было отменено и не отразилось на конечных релизах (коммит носил абсурдный характер и его трудно было не заметить). Изменение было внедрено в конце декабря и широко не афишировалось, разработчик чей аккаунт был взломан поменял пароли, а разбирательство причин перехвата пароля в то время не привело как каким-либо результатам.
Что касается взлома wiki.php.net, то для проникновения была использована уязвимость в wiki-движке DokuWiki, которая, судя по всему, остается неисправленной, так как последние известные уязвимости в DokuWiki, которые могли привести к подобного рода атакам, датированы 2006 и 2005 годами (возможен также вариант, что движок wiki.php.net не обновлялся последние 5 лет). Для упрощения дальнейших проникновений в систему совершившие атаку установили на сервер web-shell PHPHC. Пока не понятно, каким образом атакующие смогли поднять свои привилегии в системе, с одной стороны на сервере wiki.php.net было использовано устаревшее Linux-ядро, последнее обновление которого было произведено в 2009 году (в 2010 году в ядре было устранено несколько опасных уязвимостей), но с другой стороны ядро было собрано с усиливающими безопасность патчами GRSecurity.
PHP является лакомым куском для внедрения бэкдора - число установок mod_php исчисляется десятками миллионов, интерпретатор используется в таких крупных проектах, как Facebook, Yahoo, Wikipedia и WordPress.
Источник: http://www.opennet.ru/opennews/art.shtml?num=29981
|
|
0 | Tweet | Нравится |
|
