Tag Archives: php

PHP Shell e mailer, malware in Php

Posted on by
2

Nel precedente post dedicato alle categorie di malware sotto forma di PHP abbiamo visto la tipologia dei remote admin, veri e propri file manager al servizio dei cracker che permettono di eseguire qualsiasi azione malevola sul server infetto come la cancellazione e l’alterazione di file oltre alla modifica diretta del codice sorgente dell’applicazione colpita. Esiste però una categoria di malware ancora più pericolosa, si tratta delle shell Php.

Le shell PHP sfruttano le vulnerabilità di un applicativo web e gli errori di configurazione dei server oltre alla debolezza degli account ftp per installarsi sul sistema e divenire da quel momento una porta d’accesso che l’attaccante può utilizzare per compiere le più svariate azioni distruttive sul server colpito. Avere una shell PHP attiva su un server significa consegnare nelle mani dell’attaccante il controllo quasi totale del sistema. Le funzioni incluse in questi pericolosi tool consentono di alterare i permessi e le proprietà dei file, di estrarre dati dai database e di cancellare o caricare file sul server colpito. La differenza sostanziale tra shell PHP e remote admin è abbastanza sfumata. Entrambi i tool permettono di eseguire funzioni potenzialmente letali per l’intero server. L’efficacia e l’impatto di un’infezione da malware dipende comunque strettamente dalla configurazione globale della macchina colpita… Continue reading

Post simili:

Howto : installare l’estensione JSON per Php su CentOS 5.5

Posted on by
Reply

Come da consuetudine all’interno dei nostri piani di gestione server è inclusa la possibilità di richiedere l’installazione di librerie e componenti supplementari non disponibili di default sulle installazioni di base di alcuni dei principali pannelli di controllo (Virtualmin ecc.). Si tratta di estensioni aggiuntive che possono essere indispensabili per la corretta esecuzione di applicativi particolari.  A titolo di esempio l’installazione di base Php per Virtualmin è sprovvista dell’estensione Json. Vediamo come installarla in poche semplici mosse. Continue reading

Post simili:

Violato uno dei server di Php.net

Posted on by
1

“Secondo la breve comunicazione apparsa sul feed di Php.net la violazione è avvenuta grazie alla concausa di una vulnerabilità contenuta in DokuWiki seguita ad un exploit di tipo root sul server Linux wiki.php.net.”

Con una nota del 19 Marzo scorso lo staff di Php.net ha comunicato in modo abbastanza freddo la compromissione di uno dei server della scuderia. Si tratta della macchina che ospita wiki.php.net. A quanto pare la violazione del server ha permesso agli intrusi di recuperare i dati di accesso dei repository principali del codice. La più grande preoccupazione di Rasmus Lerdorf e soci è attualmente quella di verificare che non siano state iniettate porzioni di codice maligno all’interno del codice sorgente del popolarissimo linguaggio di programmazione Php. Il ferale annuncio arriva dopo la felice uscita della versione Php 5.3.6 che ha portato alla correzione di numerosi bug contenuti nelle versioni precedenti.

Secondo  Vupen, società di sicurezza francese, la voce circa la violazione di wiki.php.net ha iniziato a circolare già dallo scorso venerdì sui forum underground dove personaggi evidentemente ben informati sui fatti hanno postato circa la possibilità che a violare il server possa essere stato un hacker cinese che ha avuto gioco facile sfruttando una vulnerabilità contenuta in DokuWiki, la piattaforma utilizzata per wiki.php.net.

A quanto pare il danno più ingente subito da Php.net è stato quello di vedere sottratti i login di accesso ai repository del codice sorgente. Sempre secondo lo staff di Php.net il server compromesso è stato completamente ripristinato ed è stato imposto a tutti i developer una modifica delle password di accesso al fine di prevenire eventuali altre intrusioni dato che buona parte delle combinazioni di login è finita in mano agli intrusi.

Secondo la breve comunicazione apparsa sul feed di Php.net la violazione è avvenuta grazie alla concausa di una vulnerabilità contenuta in DokuWiki seguita ad un exploit di tipo root sul server Linux wiki.php.net.

Tralasciando considerazioni del tipo “come può Php.net essere colpita da intrusioni così clamorose?” stupisce invece come Lerdorf e compagni non abbiano fornito informazioni approfondite circa le modalità di exploiting e le tempistiche di chiusura dell’incidente. Sono migliaia i download di Php giornalieri ed il rischio di ritrovarsi con una copia del sorgente infetta è dietro l’angolo. Per il momento il server wiki.php.net espone un simpatico “Sorry for the inconvenience, we are working on it”.
In attesa di comunicazioni più “verbose” da parte di Php.net il consiglio è quello di evitare il prelievo e la compilazione del codice sorgente di Php.

Post simili: