Beveiligingsfirma Sophos waarschuwt websitebeheerders voor een aantal geraffineerde aanvalsmethodes. Met behulp van php-scripts kunnen sites gedefaced worden zonder dat de eigenaar het bemerkt.

Een groeiend aantal websites wordt door hackers belaagd met code-injectie-aanvallen, voornamelijk via iframes. Via de iframes worden vervolgens php-scripts ingeladen, zo meldt Sophos. Door aanpassingen aan het script kan een site voor elke bezoeker die de betreffende website opvraagt gedefaced worden, terwijl zoekmachine-bots uitgesloten worden.

Door het uitsluiten van zoekmachines wordt voorkomen dat gekraakte pagina's uit de zoekindexen worden verwijderd. Bovendien werken de scripts via een blacklist zodat een bezoeker slechts eenmaal de defacement te zien krijgt, waardoor het lastiger is om het probleem te identificeren.

Sophos merkt bovendien op dat de kwaadaardige php-scripts zo zijn gemanipuleerd dat deze door websitebeheerders en beveiligingsfilters minder snel gedetecteerd worden. Niet alleen wordt de code meerdere malen versleuteld en gecomprimeerd via php-functies als base64_decode en gzinflate, ook worden scripts via obfuscation nog moeilijker te detecteren. Volgens Sophos kunnen site-eigenaren zich tegen deze aanvalsmethode deels verdedigen door regelmatig de bestandsgrootte en -datum van php-scripts op de server te controleren op mogelijke afwijkingen.

Bron: Tweakers.net