image

PHP gevaarlijkste bestandsextensie van 2007

dinsdag 1 april 2008, 12:35 door Redactie, 10 reacties

Malware heeft zich vorig jaar razendsnel ontwikkeld, zo had de gemiddelde malware-familie een levensduur van 213 dagen, was malware op geïnfecteerde websites 29 dagen actief en in het geval van zero-day dreigingen ging het zelfs om 61 dagen. De cijfers van ScanSafe tekenen een donker beeld waarbij er virussen en Trojaanse paarden op elke hoek van het internet loeren. Zo waren de 10 meest voorkomende malware-families bijna het hele jaar actief.

Kijkt men naar de meest geblokkeerde bestandstypes, dan staat PHP zowel bij de normale als zero-day "blocks" bovenaan, goed voor iets meer dan 40% van de gestopte bestandsextensie. Executable bestanden zijn verantwoordelijk voor iets meer dan 20%, gevolgd door JavaScript bestanden. Het eerste verschil tussen het normale overzicht en dat van de zero-day dreigingen is zichtbaar op de vierde plaats. Bij de zero-day blocks staat daar de DLL extensie gevolgd door JPG afbeeldingen, terwijl bij de normale blocks JPG en GIF vaker geblokkeerd worden.


Ondanks de bestandsextensies blijkt dat het beveiligingslek in de GDI rendering engine van Windows (MS07-017) voor meer dan een derde van alle geblokkeerde exploits verantwoordelijk was. Hierdoor was het mogelijk om internetgebruikers eenvoudig via WMF-bestanden te infecteren. Ook twee Windows lekken uit 2005 en eentje uit 2006 komen terug in het overzicht.
Reacties (10)
01-04-2008, 13:03 door Ronald van den Heetkamp
Het grappige aan de chart is dat hoe moeilijker de bestandstypes zijn te hacken, hoe minder het geblocked is. Dit komt mede door de schaarse kennis van van de extensies/executables zoals Flash en WMF/QuickTime.

Het kost namelijk erg veel tijd om hier een kwetsbaarheid in te vinden en exploit voor te schrijven. Maar ga er maar vanuit dat een Quicktime bug duizend maal zo schadelijk is dan een een PHP bugje.

De chart laat ook zien dat de meeste hackers Linux hacken, omdat ze daar meer kennis van hebben dat MS platforms. Wat niet weg neemt dat beide onveilig zijn natuurlijk.

:)
01-04-2008, 13:17 door [Account Verwijderd]
[Verwijderd]
01-04-2008, 13:19 door meneer
Wat is het risico van een php bestandje als dat niet door
een malwarescanner wordt tegengehouden?
01-04-2008, 14:01 door SirDice
Door meneer
Wat is het risico van een php bestandje als dat niet door
een malwarescanner wordt tegengehouden?
PHP kan, behalve voor server-side scripting, ook stand-alone
gebruikt worden. Het valt dan in een zelfde categorie als
javascript, vbscript etc.
01-04-2008, 14:04 door Anoniem
PHP: 1 april...
01-04-2008, 14:18 door e.r.
Door SirDice
Door meneer
Wat is het risico van een php bestandje als dat niet door
een malwarescanner wordt tegengehouden?
PHP kan, behalve voor server-side scripting, ook stand-alone
gebruikt worden. Het valt dan in een zelfde categorie als
javascript, vbscript etc.
Wat??
Wat een non-sense.
php is gewoon plain text. Je moet een parser/engine hebben op de computer
waar het draait om het naar iets deugelijks om te zetten.
Een webserver met php ondersteuning bouwt php gewoon maar een html
achtige iets om zodat je browser het kan begrijpen.
Als deze zelfde webserver geen php ondersteuning (lees: parser) zou hebben
zou je gewoon een txt achtig bestand zien.
01-04-2008, 14:21 door [Account Verwijderd]
[Verwijderd]
01-04-2008, 14:41 door SirDice
Door e.r.
Door SirDice
Door meneer
Wat is het risico van een php bestandje als dat niet door een malwarescanner wordt tegengehouden?
PHP kan, behalve voor server-side scripting, ook stand-alone gebruikt worden. Het valt dan in een zelfde categorie als javascript, vbscript etc.
Wat??
Wat een non-sense.
php is gewoon plain text. Je moet een parser/engine hebben op de computer waar het draait om het naar iets deugelijks om te zetten.
En wat is dan het verschil met Javascript en/of VBScript?
Zijn dat geen plain text bestanden? En heb je daar ook niet een engine voor nodig?
Een webserver met php ondersteuning bouwt php gewoon maar een html achtige iets om zodat je browser het kan begrijpen. Als deze zelfde webserver geen php ondersteuning (lees: parser) zou hebben zou je gewoon een txt achtig bestand zien.
Ik heb het over stand-alone gebruik, het is dan een scriptingtaal net als elke andere.
http://www.wellho.net/mouth/468_Stand-alone-PHP-programs.html
01-04-2008, 16:55 door meneer
Door SirDice
Door e.r.
Door SirDice
Door meneer
Wat is het risico van een php bestandje als dat niet door
een malwarescanner wordt tegengehouden?
PHP kan, behalve voor server-side scripting, ook stand-alone
gebruikt worden. Het valt dan in een zelfde categorie als
javascript, vbscript etc.
Wat??
Wat een non-sense.
php is gewoon plain text. Je moet een parser/engine hebben
op de computer waar het draait om het naar iets deugelijks
om te zetten.
En wat is dan het verschil met Javascript en/of VBScript?
Zijn dat geen plain text bestanden? En heb je daar ook niet
een engine voor nodig?
Een webserver met php ondersteuning bouwt php gewoon
maar een html achtige iets om zodat je browser het kan
begrijpen. Als deze zelfde webserver geen php ondersteuning
(lees: parser) zou hebben zou je gewoon een txt achtig
bestand zien.
Ik heb het over stand-alone gebruik, het is dan een
scriptingtaal net als elke andere.
http://www.wellho.net/mouth/468_Stand-alone-PHP-programs.html
[/quote]
=========
ik weet niet waar de quotejes zitten, maar hierna volgt mijn reactie op SirDice
====
Ergo:
alleen als er een parser engine aanwezig is, wordt een php
script uitgevoerd. Geen engine, dan ook geen uitvoer.

Ik ga ervan uit dat meeste windows werkplekken geen php
parser bezitten. Tenzij de malware schrijver hopen een op
een enorme groei van het aantal linux desktops, maar ja...

Dat wil dus zeggen dat php in beginsel geen enkel doel heiligt.
Wat ik me wel voor kan stellen is dat een lekke e-mailserver
besluit om zo'n script te gaan uitvoeren. Zou dom van zo'n
server zijn.

Dus ik weet niet wie ze een plezier doen met het blokkeren
van php scripts. Lijkt inderdaad een april fool, ware het
niet dat het rapport uit maart schijnt te stammen.
01-04-2008, 18:25 door Jan-Hein
Het gaat niet om de extensie, maar om de inhoud van een bericht in
combinatie met de machinerie die we gebruiken om een bericht te
interpreteren.
Al jaren geleden werd duidelijk dat het klassieke verschil tussen data
(onschuldig) en executable (suspect) niet langer meer houdbaar was:
tegenwoordig wordt daarnaar verwezen als de aanval op de applicaties
versus de oude aanvallen op het OS (met leuke uitglijders als de discussies
over het veiligste OS, wat in mijn ogen ook een applicatie is).
Malware is een sociaal verschijnsel, dat slechts via sociale (community)
processen is te bestrijden.
Daarbij kunnen techneuten ondersteunen, maar nooit voor je winnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.