Hackerii au inceput sa abuzeze de anumite directive din configurarea PHP, in scopul de-a insera coduri mailitioase in site-urile gazduite pe conturi de hosting, servere dedicate sau servere virtuale private (VPS hosting).
Aceasta tehnica a fost identificata de firma de securitate web Sucuri in timp ce investiga mai multe site-uri infectate, site-uri ce aveau un iframe cu un cod malware inserat in paginile lor.
Conform cercetatorului David Dede de la firma Sucuri s-a ajuns la concluzia ca mai multe servere au fost compromise iar in fisierul php.ini (/etc/php.ini, /usr/local/lib/php.ini) s-a adaugat urmatoarea setare: auto_append = “Off”.
Directiva PHP auto_append_file specifica numele unui fisier care va fi automat analizat si executat dupa fisierul principal, aceasta directiva fiind echivalentul setarii la nivel de server a functiei PHP require().
Stringul “Off” din directiva php.ini este de fapt calea catre un fisier, si anume /tmp/Off, care este creat de atacatori pe serverele compromise si care contine iframe-ul cu malware-ul mentionat mai sus.
Acest nou tip de atac este mai greu de depistat pentru administratorii de servere, deoarece niciun fisier din directoarele web principale nu sunt de fapt modificate.
Astfel au fost identificate cateva mii de site-uri care au fost infectate cu acest tip de malware si se presupune ca metoda de atac a fost aceeasi.
Compania Sucuri a inspectat doar VPS-uri si servere dedicate, insa se ia in calcul si posibilitatea ca si alte servere pe care exista conturi de hosting shared sa fi fost infectate in mod similar.
Se recomanda utilizarea de patch-uri pentru toate softurile sau aplicatiile care ruleaza pe servere, actualizarea acestora si scanarea periodica a serverelor pentru depistarea de cod mailitios, precum si eliminarea numelui de fisier (daca aceasta exista) din directiva php.ini “auto_append_file“. De asemenea este necesar sa executati backup-uri periodice, pentru ca, in cazul in care ati fost infectati sau contul dvs. de hosting a fost compromis, sa se poata face restaurarea contului dintr-un backup la o data anterioara, cand contul dvs. nu era infectat. In plus, este recomandat sa scanati periodic fisierele care sunt incarcate prin FTP sau prin eventuale scripturile de upload care folosesc serverul web pentru a incarca fisiere pe site-uri sau in conturile de hosting.
Alta metoda de detectie este crearea unui fisier PHP gol intr-un director public de pe server si sa scanati adresa URL a respectivului fisier cu unul dintre scannerele online disponibile pe internet. Daca una dintre verificarile facute de scannere da un rezultat pozitiv, atunci este momentul sa contactati firma de web hosting unde aveti siteul gazduit si sa ii informati despre problema.