Sophos ontdekt deface-methode met PHP-scripts


Geschreven op vrijdag 28 oktober 2011

Websitebeheerders zijn gewaarschuwd door het beveiligingsbedrijf Sophos voor een aantal geraffineerde aanvalsmethodes. Websites zouden gedefaced kunnen worden met behulp van php-scripts zonder dat de eigenaar dit doorheeft.

Steeds meer websites worden door hackers belaagd met code-injectie-aanvallen. Via iframes kunnen php-scripts worden ingeladen zegt Sophos. Door bepaalde aanpassingen in het script kan een website voor elke bezoeker die die website dan opent kan dan gedefaced worden. Zoekmachine-bots worden hiervan uitgesloten.

Doordat zoekmachine-bots uitgesloten worden, voorkomen de hackers dat gekraakte pagina's uit de zoekresultaten worden verwijderd. Daarnaast werken de scripts via een blacklist zodat een bezoeker de defacement slechts een keer te zien krijgt. Hierdoor is het lastig om het probleem te kunnen indentificeren.

Sophos meldt ook dat de kwaadaardige php-scripts zo zijn gemanipuleerd dat deze scripts door beveiligingsfilters en websitebeheerders lastiger getedecteerd kunnen worden. De code wordt meerdere malen versleuteld en gecomprimeerd via php-functies zoals gzinflate en base64_decode. Website-eigenaren kunnen zich volgens Sophos deels tegen deze aanvalsmethode verdedigen door regelmatig te controleren of de bestandsgrootte of de laatst aangepaste datum van de php-bestanden te controleren op afwijkingen.




Gerelateerde blogs:

01-09-2011  Beveiligingsgat in PHP-update 5.3.7