Όπως αναγνωρίστηκε και ανακοινώθηκε απο την Sucuri Security, μια web security εταιρία, hackers ξεκίνησαν να εκμεταλεύονται μια συγκεκριμένη ρύθμιση της PHP προκειμένου να προσθέσουν κακόβουλο κωδικό σε σελίδες που είναι hosted σε dedicated servers και VPS(Virtual private server).

Στους «μολυσμένους» servers βρέθηκε πως στο βασικό αρχείο php.ini (/etc/php/php.ini) έχει προστεθεί το παρακάτω

;auto_append_file = «0ff»

Το «0ff» string στο μολυσμένο php.ini παραπέμπει στο /tmp/0ff το οποίο δημιουργείται απο τους εισβολείς και περιέχει ένα κακόβουλο iframe.

Να τονίσουμε πως ο τρόπος που καλείται το iframe καθιστά πολύ δύσκολο να ελεγχθεί και να βρεθεί το πρόβλημα άμεσα.

Αν και έχει γίνει έλεγχος απο τη Sucuri μόνο σε μερικούς dedicated servers και VPS υπάρχει ήδη η υποψία πως πολύ περισσότεροι servers έχουν μολυνθεί(δεν έχει πιστοποιηθεί οτι ήταν zero-day attack ακόμη) και πολλά sites σε shared hosting λογαριασμούς -ιδίως στα αποκαλούμενα low cost hosting- έχουν τον κωδικό του iframe.

Παρακαλούμε να είστε υποψιασμένοι και να ενημερώσετε τους παρόχους σας(hosting providers) σε περίπτωση που δείτε κάτι ύποπτο-άγνωστο να εμφανίζεται στη σελίδα σας.