[PHP]źrodło infekcji plików PHP Opcje

[elmozaur]

Witam.
Ostatnio miałem do czynienia z przypadkiem infekcji kodu PHP.
Virus lub coś podobnego wyglądało jak zmienna php która zawierała kod przepuszczony przez jakiś obfuskator i następnie była wywoływana.
Taki złośliwy kod byl doklejany przed <?php lub na koncu pliku.
Ponieważ oczyszczałem 2 różne serwisy z tego typu złośliwości - moje pytanie jest takie:
-czy powodem infekcji jest luka w PHP ?
-samym programie napisanym w PHP ?
-zabezpieczeniu apacha na którym stawiane są strony ?
a może ktorys z użytkownikóww wrzucajac materiały na FTP mógł "zarazić serwer" ?

Z tego co zdążyłem zauważyć zainfekowane zostały również pliki php które w trakcie zwykłego przeglądania strony/programu nie były używane.
Czyli tak jakby listowana była cała zawartość katalogu i do każdego pliku php dołączany złośliwy kod.

ktoś miał może podobny problem ?

pozdrawiam
Grzegorz

[Damonsson]

W 90% przypadków źródłem jest FTP.

[elmozaur]

dzieki - tego sie obawialem.
swoja droga to niesamowite ze viruch moze byc zapisany w 1 stringu i odpalany evalem narobic tyle zniszczen

[mstraczkowski]

Dużym problemem nie jest rzucić pod evala np. rekursywne usuwanie katalogów na serwerze (IMG:style_emoticons/default/smile.gif)

[elmozaur]

no własnie rekursywnie wrzucone zostało dopisywanie śmieci do plików php ;-)
a najgorsze jest to, ze zadziałało to tez na katalogach wyższych niż wywołany skrypt !
Efektem bylo zainfekowanie kilku aplikacji phpowych jednoczesnie


dziękuję za info

[phpion]

Dlatego nigdy nie powinno się zapisywać haseł w klientach FTP. W większości tego typu programów jest nawet ostrzeżenie, że zapisanie hasła może nie być bezpieczne.