Rootkitek készítését is megkönnyíti a PHP

Egy holland webfejlesztő a PHP-alapú rootkitek veszélyeire hívta fel a figyelmet.
 

Luke Paris holland fejlesztő úgy határozott, hogy a rootkitek adta lehetőségeket megpróbálja átültetni a PHP-s világba. A szakember abból indult ki, hogy az operációs rendszer (kernel) szintű rootkitek fejlesztése korántsem egyszerű feladat, komoly szaktudást igényel, és nem utolsó sorban megfelelő tesztelést. Már csak azért is, mert ha a kód nem úgy működik, ahogy kellene, akkor az könnyen a teljes rendszer összeomlását okozhatja, ami egy rejtőzködésre és feltünések kerülésére kifejlesztett károkozó esetében nem éppen pozitív sajátosság a támadók szempontjából.
 
Paris elmondta, hogy például egy Zend alapú PHP-s rootkit fejlesztése jóval egyszerűbben és gyorsabban végrehajtó, mintha kernel modulokat kellene írogatni. A szakember nyilván nemcsak az elmélet szintjén hadakozott a PHP-s rootkitek gondolatával, hanem azokat a gyakorlatba is átültette. Így született meg egy PoC (Proof of Concept) kód, ami működőképesnek bizonyult. Ez jelen esetben a PHP hash, valamint sha1 függvényeihez kapcsolódott, és mindössze 80 sorból állt. Ennek ellenére működőképesnek bizonyult, és képes volt ellátni a feladatát.
 
Nyilván egy ilyen fertőzött PHP-modult is fel kell juttatnia a támadónak a kiszemelt szerverre. Paris szerint azonban ez egyéb sebezhetőségek kihasználásával megvalósítható. A kockázatokat igazán az növeli, hogy az üzemeltetők, fejlesztők meglehetősen ritkán ellenőrzik a PHP-s fájlok, modulok integritását, így egy ilyen rootkit sokáig képes lehet kiszolgálni a támadók céljait. Nem utolsó sorban pedig platformfüggetlenül működik, azaz mindenhol elfut, ahol a PHP is.
 
Paris a megelőzés érdekében azt javasolta, hogy érdemes a PHP-s összetevőket hash kódokkal rendszeresen ellenőrizni, és meggyőződni arról, hogy azokat senki sem manipulálta. Ehhez el is készített egy kis Python scriptet, amivel (például cron ütemezéssel) ez a fajta integritásvizsgálat könnyen, akár automatizáltan is elvégezhető.