พบ backdoor บน phpMyAdmin ที่อยู่บน SourceForge คาดไฟล์ถูกแฮกเกอร์แก้ไข

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

มีการตรวจพบการบุกรุก mirror ของโครงการ phpMyAdmin บน SourceForge และตรวจพบการแก้ไขเพื่อวาง backdoor ในไฟล์ server_sync.php เพื่อให้แฮกเกอร์สามารถรันคำสั่ง PHP จากระยะไกลได้

จากการตรวจสอบพบว่ามีการแก้ไขไฟล์จาก ‘cdnetworks-kr-1’ ซึ่งเป็น mirror ที่อยู่ในเกาหลีใต้ตั้งแต่ช่วงวันที่ 22 กันยายน จากล็อกไฟล์ของระบบพบว่ามีการดาวน์โหลดไฟล์ phpMyAdmin-3.5.2.2-all-languages.zip เป็นจำนวนกว่า 400 ครั้งโดยทาง SourceForge ก็ได้พยายามติดต่อกับผู้ใช้งานที่มีดาวน์โหลดไปในเรื่องนี้แล้ว

สำหรับแนวทางการตรวจสอบและแก้ไขนั้น ผู้ใช้งานควรที่จะตรวจเช็คเวอร์ชันของโปรแกรมรวมถึงค้นหาไฟล์server_sync.php ว่ามีอยู่หรือไม่ หากมีก็ควรดาวน์โหลดและติดตั้งใหม่จากแหล่งที่น่าเชื่อถือ รวมถึงการตรวจสอบ hash ของไฟล์หลังจากดาวน์โหลดเสร็จนั้นๆ ด้วยว่าถูกต้องหรือไม่ ก็จะช่วยป้องกันได้ในระดับหนึ่งครับ

ที่มา – phpMyAdmin SecuritySourceForge via ZDNet

ข่าวจาก Blognone โดย pe3z

บทความที่เกี่ยวข้อง