WebbanalysKeymetrics

PHP scanning från virus smittad webbserver

PHP drivna webbservrar utsätts för både scanningar och attacker, speciellt problematiskt blir det när serveradministratörer inte ser till att dessa är uppdaterade och säkrade mot bl.a. virusangrepp. Kör man en PHP driven webbserver är det lämpligt att analysera loggfilerna för att hålla koll på vad som sker ur den aspekten, här är ett par handfasta tips på hur man går tillväga.

TL;DR

Versionskontroll av programvaror som används på en server är i sig viktigt men lika viktigt är det att ha som rutin att testa säkerheten. Servrar som vilka inte är övervakade och säkerhetstestas regelbundet riskerar att smittas av virus och annat vilket över tid kan ge upphov till en stor mängd oönskad trafik till andra servrar och datorer. Loggfilsanalys må vara i många hänseenden ett "old school" sätt att utföra webbanalys på, men det finns tillfällen där det kompletterar klientmätningen av webbtrafik. Just vid anrop till en webbserver finns det information som enbart kan påträffas i loggfilerna.

Märkliga PHP anrop

Under sommaren under Juli brukar besökstrafiken från vanliga besökare avta och det blir enklare att se lite udda anrop i loggfilerna eftersom datamängden är mindre i dessa. Kör man en PHP server så kan man enkelt med LogSaw (länk nedan) eller ett annat verktyg riva ut specifika rader i loggfilen. PHP anropen är intressanta även om man inte kör PHP eftersom dessa fyller loggfilen och belastar servern i onödan.

Vid en närmare undersökning på just detta i loggfilen för denna webbplats gick det att finna en mängd anrop efter olika PHP filer och tillhörande kataloger, något som klart indikerar att ett virus på en annan dator försöker finna svagheter hos PHP här.

Eftersom PHP inte används så resulterar samtliga dessa anrop i server kod 302 (p.g.a. ompekning till 404 sidan för sajten). För en sajt utan felhantering resulterar det i 404 fel. Mängden sådana virusanrop tyder på en omfattande mängd som webbservern måste ta hand om.

phpMyAdmin Scans

Men kör man PHP och server koden är 200 så skall man definitivt agera, viruset har funnit vad den letade efter. En sådan dator (bland många fler) som skickat ett stort antal virus relaterade anrop gick att finna i Juli loggfilen, dess IP nummer var därmed bara att spåra vidare på.

Check which web sites run on a web server

Virus smittad server

Genom att använda funktionen Reverse IP domain check på sajten You Get Signal kan man enkelt testa om det körs en webbplats på ett specifikt IP nummer.

Det visade sig att det fanns åtminstone en webbplats igång, och det var att webbplatsen VästGöta Nation var igång på en virussmittad server.

Vid test av dess URL i Netcraft kunde det konstateras att webbservern ifråga använde sig av PHP, dessvärre en PHP version som kom ut i December 2008 och som har ett flertal sårbarheter. PHP tycks enligt Security Space ofta ha problem med sårbarheter.

Netcraft webbserver kontroll

En snabb kontroll hos de som utvecklar PHP visar att det i Februari 2009 kom en uppgradering på ett stort antal sårbarheter och fel, och i Juni ytterligare 2st uppgraderingar för att åtgärda fel i PHP. Förmodligen har inte den serveransvarige någon större koll på servern, och scannar heller inte av den regelbundet för virus och annat mindre önskvärt att ha på en server.

En bra kontroll är dessutom att i den egna brandväggen analysera de utgående anrop som kommer ifrån servrar, speciellt anrop som visar sig vara av viruskaraktär. Som regel borde en webbserver inte ha en stor mängd utgående HTTP anrop, det reser definitivt en varningsflagga eftersom man sällan sitter och surfar på en sådan.

Extern länk

PHP 5.2.8 and Prior Versions Multiple Vulnerabilities

---