PHP.net für Malwareverbreitung gehackt

25. Oktober 2013, 12:13
14 Postings

Unbekannte sind in Server eingebrochen - Erst Googles Safe Browsing deckt Schadcode auf

Als Googles Browser Chrome am Donnerstag damit begann, eine Schadcode-Warnung beim Besuch von PHP.net auszugeben, dachten viele zunächst an eine Fehlanzeige. Selbst PHP-Erfinder Rasmus Lerdorf mokierte sich noch per Twitter über den vermeintlichen Google-Fehler. Allein: Wie man wenige Stunden feststellen musste, hatte Google die Warnung zurecht ausgesprochen.

Einbruch

Offenbar ist es Unbekannten gelungen bei PHP.net einzubrechen und Schadcode auf der Seite zu platzieren. Dies bereits am 22. Oktober, die Auslieferung von Malware blieb also zwei Tage lang unbemerkt. Das Projekt betont allerdings, dass nur ein kleiner Prozent der BesucherInnen gefährdet gewesen sei.

Unklarheiten

Konkret wurden Flash-Dateien mit Schadcode in eine Javascript-Datei eingebettet, Ziel dürften also Sicherheitslücken in der Adobe-Software gewesen sein. Derzeit gibt es betreffs des Einbruchs aber noch eine Reihe von offenen Fragen. So ist unklar, wie es den AngreiferInnen gelungen ist, die entsprechende Datei immer wieder zu modifizieren, obwohl sie mehrfach automatisch überschrieben wurde.

Maßnahmen

Das PHP-Team geht nach intensiver Prüfung jedenfalls davon aus, dass der Code von PHP selbst nicht manipuliert wurde. Trotzdem ist das Code-Repository derzeit nur im Read-Only-Modus verfügbar. Als weitere Maßnahme wurden sämtliche Server neu aufgesetzt sowie die bestehenden SSL-Zertifikate zurückgezogen und neue Zertifikate ausgeliefert. (red, derStandard.at, 25.10.13)

Link

php.net

  • Erst durch Googles Warnung ist der Hack von php.net aufgeflogen
 
    grafik: google

    Erst durch Googles Warnung ist der Hack von php.net aufgeflogen

     

Share if you care.