Злоумышленники нашли способ изменять конфигурацию PHP-настроек сайтов, которые размещаются на выделенных или виртуальных частных серверах (VPS), с целью размещения вредоносного кода. Данная хакерская уловка была обнаружена сотрудниками фирмы Sucuri во время исследования нескольких зараженных веб-сайтов.
«Мы обнаружили, что все взломанные сервера имеют один и тот же измененный файл настроек php.ini. В нём злоумышленники добавили следующую строку: auto_append_file= «OFF», рассказал в своём блоге Дэвид Деде (David Dede), специалист по безопасности компании Securi.
Директива auto_append_file задает имя автоматически выполняемого файла, а параметр «OFF» является на самом деле размещенным хакерами файлом и содержит вредоносные код. Веб-мастерам достаточно сложно распознать данный хакерский прием. «Мы выявили несколько тысяч сайтов с подобной вредоносной программой», утверждает Дэвид Деде.
Денис Синегубко (Denis Sinegubko), независимый исследователь безопасности и создатель сканера вебсайтов Unmask Parasites, не может подтвердить атаку с использованием команды «auto_append_file», но в прошлом он уже встречался с подобными зловредными модификациями файла настроек php.ini.
«Все версии критических конфигурационных файлов должны быть под контролем. Это поможет не только обнаруживать нежелательные изменения, но и легко восстанавливать предыдущие копии. Сканирование веб-серверов и просмотр журналов на предмет подозрительной активности является первоочередной и регулярной задачей администраторов серверов. В случае обнаружения следов хакерских атак веб-мастерам следует немедленно обращаться к провайдерам хостинга и информировать их о проблеме», советует Денис Синегубко.