The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

22.03.2011 10:14  Продемонстрирована удачная попытка внедрения бэкдора в код интерпретатора PHP

История со взломом wiki-сайта проекта PHP получила продолжение. На нескольких китайских ресурсах, посвященных компьютерной безопасности, появилось заявление (сообщение на китайском языке, перевод на английский) об успешном проведении подстановки кода в исходные тексты интерпретатора PHP. В уведомлении утверждается, что кроме wiki.php.net был получен доступ к другим хостам инфраструктуры PHP, а также перехвачены параметры входа для нескольких аккаунтов участников проекта. Судя по тексту заявления, подстановка кода была произведена с целью демонстрации возможности проведения успешной атаки на web-инфраструктуру проекта PHP.

Интегрированные в SVN-репозиторий проекта изменения носят демонстрационный характер и не представляют угрозы (если конечно, это единственное внесенное изменение, в чем сомневаются эксперты компании VUPEN). В частности, в код PHP (файл ext/standardcredits.c) было интегрировано безобидное упоминание вымышленного разработчика "Wolegequ Gelivable" в блок с перечислением участников проекта. Изменение внесено в trunk-репозиторий PHP, которое почти сразу было отменено и не отразилось на конечных релизах (коммит носил абсурдный характер и его трудно было не заметить). Изменение было внедрено в конце декабря и широко не афишировалось, разработчик чей аккаунт был взломан поменял пароли, а разбирательство причин перехвата пароля в то время не привело как каким-либо результатам.

Что касается взлома wiki.php.net, то для проникновения была использована уязвимость в wiki-движке DokuWiki, которая, судя по всему, остается неисправленной, так как последние известные уязвимости в DokuWiki, которые могли привести к подобного рода атакам, датированы 2006 и 2005 годами (возможен также вариант, что движок wiki.php.net не обновлялся последние 5 лет). Для упрощения дальнейших проникновений в систему совершившие атаку установили на сервер web-shell PHPHC. Пока не понятно, каким образом атакующие смогли поднять свои привилегии в системе, с одной стороны на сервере wiki.php.net было использовано устаревшее Linux-ядро, последнее обновление которого было произведено в 2009 году (в 2010 году в ядре было устранено несколько опасных уязвимостей), но с другой стороны ядро было собрано с усиливающими безопасность патчами GRSecurity.

PHP является лакомым куском для внедрения бэкдора - число установок mod_php исчисляется десятками миллионов, интерпретатор используется в таких крупных проектах, как Facebook, Yahoo, Wikipedia и WordPress.

  1. Главная ссылка к новости (http://news.php.net/php.intern...)
  2. OpenNews: Проект PHP сообщил о взломе и утечке базы паролей с Wiki-сервера
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: php, security, hash
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, naut, 11:00, 22/03/2011 [ответить] [смотреть все]
  • +/
    Ну если это так, то это #$*#! :)
     
     
  • 2.2, FilimoniC, 11:07, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]
  • –1 +/
    Судя по сообщению, не было ничего внедрено опасного Только в credits ы дописа... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.29, szh, 17:58, 22/03/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    значит был получен доступ на запись в исходники, и туда могли вставить что угодн... весь текст скрыт [показать]
     
     
  • 4.37, sllxxe, 14:59, 24/03/2011 [^] [ответить] [смотреть все]  
  • +/
    а если найдут всё-таки бекдор который по сути был подсадной уткой , а реально н... весь текст скрыт [показать]
     
  • 1.3, Аноним, 11:09, 22/03/2011 [ответить] [смотреть все]  
  • +/
    Последние известные уязвимости в DokuWiki устранялись год-полтора назад а не пя... весь текст скрыт [показать]
     
     
  • 2.6, Аноним, 11:26, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В том то и дело, что по мелочи , дыр способных привести к выполнению php-скрипт... весь текст скрыт [показать] [показать ветку]
     
  • 1.4, Aman, 11:17, 22/03/2011 [ответить] [смотреть все]  
  • +4 +/
    Ну как бы много желтого в новости (спецслужбы чего стоят), но суть правильная. И ничего удивительного. Сколько не говори - пых сплошная дыра и эксплойт, никто особенно не верит. Вообще даже без закладок, на "блекхэтах" месяцами висят дыры, эксплоиты и чаще всего "отказы в обслуживании", если в php закрывают их за 3 месяца, то уже хорошо.

    А если обращаться с чем-то в Zend, так это вообще непередаваемо. Тотальный пофигизм и непроходимая тупость. Почти на любой мессадж - вам напишет какой-нибудь индус, предлагающий назвать свободное время, когда он может рассказать о прекрасных продуктах Zend'а.

     
     
  • 2.12, terr0rist, 12:37, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    логично Какой пых, такая и контора ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, turbofail, 11:26, 22/03/2011 [ответить] [смотреть все]  
  • +1 +/
    так им и надо, может прозреют
    скрипт-кидди и дизайнеры/верстальщики/сеошники в контрибуторах - в этом весь PHP
     
     
  • 2.15, Aman, 13:09, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Им по барабану, они от этого далеки Прозревают админы и хостеры, которые думают... весь текст скрыт [показать] [показать ветку]
     
  • 2.19, metallic, 15:28, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Чем плох пхп и какая есть альтернатива, которая лучше и чем?
    Иначе школотроль.
     
     
  • 3.21, Aman, 15:45, 22/03/2011 [^] [ответить] [смотреть все]  
  • +1 +/
    Ээээ Прочтите новость Ревизия всего исходного кода Переход на git срочно ... весь текст скрыт [показать]
     
     
  • 4.23, BlessMaster, 16:09, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Ээээ и что это поменяет Или все взломщики мира страшно боятся этого слова В... весь текст скрыт [показать]
     
     
  • 5.27, Aman, 17:01, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Контроль целостности файлов проекта Как минимум Как максимум - получение прав ... весь текст скрыт [показать]
     
     
  • 6.38, BlessMaster, 17:13, 28/04/2011 [^] [ответить] [смотреть все]  
  • +/
    svn и другие не позволяют контролировать целостность файлов По поводу центральн... весь текст скрыт [показать]
     
  • 1.9, Aman, 12:02, 22/03/2011 [ответить] [смотреть все]  
  • +/
    >интерпретатор используется в таких крупных проектах, как Facebook

    Кстати, Facebook вроже ж использует свой собственный интерпретатор, который они сравнительно недавно открыли?

     
     
  • 2.10, anonymouse, 12:09, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Не интепретатор, а компилятор, который hiphop
     
     
  • 3.11, Aman, 12:31, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Я с ним не работал, но по wikipedia понял, что все-таки не компилятор, а трансфо... весь текст скрыт [показать]
     
  • 1.17, non anon, 13:33, 22/03/2011 [ответить] [смотреть все]  
  • +/
    >ядро было собрано с усиливающими безопасность патчами GRSecurity.

    Они усиливают не безопасность, а глючность и тормоза. Поэтому в мейнстрим их и не берут.

     
     
  • 2.18, deadless, 15:18, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    вот тут некий paxuser с пеной у рта доказывал что только применяя grsecurity и h... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.20, бедный буратино, 15:33, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Какая разница, сколько у тебя замков на двери, если у тебя окно настежь открыто ... весь текст скрыт [показать]
     
     
  • 4.24, pavlinux, 16:11, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Только окно на -69 этаже под землёй :)
     
  • 3.30, non anon, 18:22, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Реально защитить систему могут только своевременные обновления в сочетании с про... весь текст скрыт [показать]
     
  • 2.25, pavlinux, 16:16, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Бронежилет и каска не увеличивают безопасность если лежат в шкафу ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.31, non anon, 18:25, 22/03/2011 [^] [ответить] [смотреть все]  
  • +/
    grsecurity - это скорее не каска и жилет, а поллитра выпил - и не боишься ... весь текст скрыт [показать]
     
     
  • 4.35, Аноним, 12:28, 23/03/2011 [^] [ответить] [смотреть все]  
  • +/
    руки надо иметь из правильного места И да, RBAC еще никто не отменял Запарка с... весь текст скрыт [показать]
     
  • 1.22, BlessMaster, 16:05, 22/03/2011 [ответить] [смотреть все]  
  • –1 +/
    Новость ровным счётом ни о чём. Кто-то где-то заявил, что он прописался в контрибуторы. Нам сообщают, что это изменение сразу откатили (то есть в стабильный релиз оно не попало).

    Сервера взломаны якобы через уязвимость в DocuWiki (автор статьи вопросом не владеет, сплошные предположения). Как подняли права - опять же не в курсе. Спрашивается, при чём тут вообще PHP?

    Третий вопрос: при чём здесь mod_php?

     
     
  • 2.26, uldus, 16:23, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Типичное отношение к безопасности разработчика на PHP Фактически показано, что ... весь текст скрыт [показать] [показать ветку]
     
  • 2.28, Aman, 17:11, 22/03/2011 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    > Новость ровным счётом ни о чём. Кто-то где-то заявил, что он прописался
    > в контрибуторы. Нам сообщают, что это изменение сразу откатили (то есть
    > в стабильный релиз оно не попало).
    > Сервера взломаны якобы через уязвимость в DocuWiki (автор статьи вопросом не владеет,
    > сплошные предположения). Как подняли права - опять же не в курсе.
    > Спрашивается, при чём тут вообще PHP?
    > Третий вопрос: при чём здесь mod_php?

    Новость написана неважно, важно, что был "закоммичен" левый код, под логином одного из европеоидных коммитеров, кем то из Китая. Очень мило. Все остальное лирика, показывающее плохое и несовременное состояние инфраструктуры проекта.

    Вообще чего ждать от php, если они бросают на произвол 5.2, при куче проектов не поддерживающих 5.3. Я бы понял, если бы они тянули 4 каких-то параллельных веток, а так.. Что хочу, то ворочу.

     
     
  • 3.32, ы, 00:49, 23/03/2011 [^] [ответить] [смотреть все]  
  • +/
    1) 5.3 вышел уже полтора года назад
    2) в нем нет принципиальных несовместимостей с 5.2. Все, что ломает bc, описано в мане, и исправление даже проекта в сотни тысяч LOC займет пару дней (сам делал).  При этом для кода, написанного не левой жопой (что редкость для похапе-прогромиздов, да) исправлений ваще не потребуется.

    так что пострадают только те, кому пох*й.

     
     
  • 4.34, Aman, 01:51, 23/03/2011 [^] [ответить] [смотреть все]  
  • +/
    Это все в вакууме. Все что использую лично я - давно запилено на 5.3. Но у меня виртуальный хостинг и у кучи людей сайты не работающие с 5.3 и переделывать никто не собирается. Еще есть старые зазенденные скрипты (про дезенд, перепилку под 5.3 - тоже не тот случай). В итоге проблема для любого хостера. А еще некоторые веселые хостеры, могут ужить 5.2 и 5.3 на одном хосте, так что потом не жалуйтесь.
     
  • 1.33, Vitold S, 01:06, 23/03/2011 [ответить] [смотреть все]  
  • +/
    Сам факт безответственного поведения PHP разработчиков допустивших использование какого-то кривого Wiki.

    Собственно в PHP есть же различные SAFE и noexec ключи безопасности? Или я ошибаюсь?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor TopList