Technologiczne, Gadżety, Telefony Komórkowe, Pobieranie Aplikacji

Zhakowanie PHP: 100% witryn WordPress jest podatnych na ataki

Uwaga: Poniższy artykuł pomoże Ci w: Zhakowanie PHP: 100% witryn WordPress jest podatnych na ataki

PHP, czyli preprocesor hipertekstu, to język programowania, który obsługuje około 80 procent sieci. Witryny WordPress działają w oparciu o PHP, co czyni je krytycznie podatnymi na ataki hakerskie PHP.

Sam język jest językiem typu open source, co oznacza, że ​​każdy, kto programuje w języku PHP, może stać się „członkiem wspierającym” społeczności open source, który wdraża go i rozwija przy jego użyciu.

Warto o tym wiedzieć, ponieważ pokazuje to, jak powszechny może być atak na PHP.

W nocy z niedzieli na 28 marca 2021 roku doszło do właśnie takiego ataku. – poinformował Nikita Popow że dwa złośliwe zatwierdzenia zostały zepchnięte do pliku php-src Repozytorium Gita.

Git to bezpieczne centrum/społeczność tworzenia stron internetowych, a repozytorium Git to biblioteka kodu przypisana konkretnym użytkownikom w sieci Git. Repozytoria mogą być publiczne lub prywatne.

Język skryptowy PHP — będący podstawą 100 procent witryn WordPress — jest hostowany w repozytorium Git, które zostało przejęte, co stanowi potencjalnie niebezpieczne zagrożenie dla witryn WordPress. Oto, co się wydarzyło i co to oznacza na przyszłość.

Backdoory zostały zainstalowane podczas hackowania PHP

Te konkretne Git zatwierdza zostały zrobione, aby zainstalować dwa backdoory.

Te backdoory skutecznie zapewniłyby tym atakującym uprawnienia do przeprowadzania ataków polegających na zdalnym wykonaniu kodu na dwa sposoby: poprzez kod PHP i nagłówek HTTP.

Według Zespół bezpieczeństwa Wordfence:

„Zdalne wykonanie kodu umożliwia zdalne wydawanie poleceń serwerowi, co pozwala atakującym na tworzenie nowych plików, kradzież danych na serwerze, usuwanie plików i zasadniczo przejmowanie zagrożonego serwera przez dowolną witrynę internetową obsługiwaną przez PHP”.

W tym samym artykule Wordfence szczegółowo opisał zakres włamań:

„W sobotę 27 marca 2021 r. pierwsze z dwóch zatwierdzeń zostało wypchnięte do repozytorium. Pierwsze zatwierdzenie miało opis Naprawia drobną literówkę. Podpisał: Rasmus Lerdorf <[email protected]> przez sprawcę Rlerdorfa. To konto należy do Rasmusa Lerdorfa, współautora języka PHP. Drugie zatwierdzenie nie miało opisu, jednak nosiło tytuł Revert „Revert”[skip-ci] Napraw literówkę”, co cofnęło pierwotne zatwierdzenie rlerdorfa, co wskazuje, że osoba atakująca cofnęła pierwotną próbę Nikity przywrócenia tylnych drzwi. To zatwierdzenie miało wyglądać, jakby pochodziło z konta Nikc. To konto należy do Nikity Popova, bardzo szanowanego współpracownika projektu PHP.

Użycie tych dwóch indywidualnych kont sprawiło, że wyglądało na to, że zatwierdzenia pochodziły od wysoce zaufanych współpracowników i autorów, co miało na celu sprawienie, aby zatwierdzenia wyglądały autentycznie i renomowanie. Osoba atakująca upewniła się również, że zmiany wyglądały na drobne poprawki mające na celu skorygowanie literówki w celu ukrycia swoich intencji.

Na pierwszy rzut oka może się wydawać, że konta Rlerdorfa i Nikica zostały przejęte, jednak grupa PHP wyraźnie oświadczyła, że ​​według nich złośliwe zatwierdzenia były wynikiem włamania w ich infrastrukturze git, a nie jakiegokolwiek indywidualnego konta.

Poniżej znajduje się zrzut ekranu zatwierdzenia, które najwyraźniej pochodziło z konta rlerdorf.

Poniżej znajduje się zrzut ekranu zatwierdzenia, które prawdopodobnie pochodzi z konta Nik.

Jakie jest znaczenie?

Przeglądając te zrzuty ekranu, należy pamiętać, że w obu próbach włamania użyto tego samego kodu.

Na szczęście Git Repo było w stanie wychwycić te zatwierdzenia, zanim zostały wypuszczone do wersji produkcyjnej.

W przeciwnym razie hakerzy mogliby wyrządzić wiele szkód wszystkim witrynom WordPress.

Wordfence wspomina, że ​​ostatecznie tylne drzwi nie zostały dobrze ukryte i jest prawdopodobne, że atakujący albo spodziewał się, że zostanie złapany, albo nie miał umiejętności, aby to ukryć.

Oni (Wordfence) również nie traktują zagrożenia tak poważnie ze względu na przypisanie, że atak przeprowadził raczej niedoświadczony „dziecko skryptowe”, a nie wyrafinowany, pełnoprawny zespół hakerów.

Ten hack PHP nie wpływa na witryny WordPress w fazie produkcyjnej

Na szczęście dla nas wszystkich ten hack nie wpływa na produkcyjne witryny WordPress ze względu na szybkość, z jaką został początkowo wykryty.

Wordfence raportuje, że zaatakowana wersja PHP nie dotarła i nigdy nie dotrze do Twojego serwera.

Będziemy na bieżąco informować Cię o wszelkich zmianach w miarę rozwoju historii.

Kredyty obrazkowe:
Zrzuty ekranu: Wordfence.com / marzec 2021

Table of Contents