В поставке OpenX , открытого движка для организации показа online-рекламы, обнаружен бэкдор. Наличие бэкдора подтверждено в версии 2.8.10, но по заявлению исследователей безопасности вредоносный код поставлялся начиная с ноября 2012 года. Разработчики проекта пока никак не прокомментировали ситуацию, но в текущей версии пакета OpenX вредоносный код уже отсутствует. Бэкдор оформлен в виде блока с php-кодом, добавленным в один из JavaScript-файлов и закамуфлированный под обращение к jQuery. Для проверки наличия бэкдора достаточно выявить файлы с расширением ".js", содержащие код на языке PHP: find . -name \*.js -exec grep -l '<?php' {} \; После активации бэкдора злоумышленниками в систему дополнительно устанавливается файл www/images/debugs.php, содержащий web-shell. Дополнение: Разработчики OpenX опубликовали отчёт об инциденте, в котором подтверждён факт внесения модификаций в архив openx-2.8.10.zip, позволяющих выполнить произвольный PHP-код в системе. Троянские изменения были внесены в файлы plugins/deliveryLog/vastServeVideoPlayer/flowplayer/3.1.1/flowplayer-3.1.1.min.js, plugins/deliveryLog/vastServeVideoPlayer/player.delivery.php и lib/max/Delivery/common.php. Для проникновения в систему использовался запрос "fc.php?script=deliveryLog:vastServeVideoPlayerlayer&file_to_serve=flowplayer/3.1.1/flowplayer-3.1.1.min.js", наличие следов которого в логе http-сервера говорит об успешном проникновении злоумышленников. Всем пользователям рекомендуется обновить OpenX до версии 2.8.11. О том каким образом злоумышленникам удалось интегрировать свой код в архив ничего не сообщается. Также не известно пострадала ли инфраструктура проекта. http://www.opennet.ru/opennews/art.shtml?num=37613 --- Собственно вопрос. Какой толк от этой уязвимости, если необходимо, что бы сервер был настроен так, чтобы php обрабатывал *.js? Или я чего-то не понимаю в этом мире?
