Abo
  • IT-Karriere:

Angriff: PHP.net als Malware-Schleuder missbraucht

Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.

Artikel veröffentlicht am ,
Server des PHP-Teams erfolgreich angegriffen
Server des PHP-Teams erfolgreich angegriffen (Bild: PHP.net)

Php.net, die offizielle Website des PHP-Projekts, ist als Malware-Schleuder missbraucht worden. Die Seite zählt laut Alexa zu den 250 am häufigsten aufgerufenen Websites weltweit.

Stellenmarkt
  1. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg
  2. STIEBEL ELTRON GmbH & Co. KG, Holzminden

Aufgefallen ist der Einbruch durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte. PHP-Erfinder Rasmus Lerdorf hielt die Warnung zunächst für einen Fehler aufseiten von Google, da das zu beobachtende Verhalten - minimierter und verschleierter Code, der dynamisch in die Datei userprefs.js eingefügt wird - beabsichtigt war. Das PHP-Team musste aber in der Nacht feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt.

Bei der Analyse der Logfiles von static.php.net fiel auf, dass die Datei userprefs.js ab und an mit der falschen Größe ausgeliefert wird, nach einigen Minuten aber wieder korrekt aussah. Das liegt an einem Cronjob, der Dateien per rsync abgleicht. Googles Crawler hat die Seite aber in einem Moment erfasst, als eine veränderte Datei ausgeliefert wurde. Ein glücklicher Zufall, denn andernfalls wäre der Einbruch wohl erst später bemerkt worden.

Im Rahmen der weiteren Analyse wurden alle Server überprüft: Neben static.php.net, auf dem auch die Domain git.php.net gehostet wird, war demnach auch der für bugs.php.net betroffen.

Vom 22. bis zum 24. Oktober Malware ausgeliefert

Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden.

Bleibt die Frage, wie es den Angreifern gelungen ist, die Datei immer wieder zu modifizieren. Eine Antwort darauf hat das PHP-Team noch nicht. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt.

Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt.

Möglicherweise Zugriff auf privaten SSL-Schlüssel

Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.



Anzeige
Top-Angebote
  1. (aktuell u. a. Acer One 10 Tablet-PC für 279,00€, Asus Zenforce Handy für 279,00€, Deepcool...
  2. 799,00€ (Bestpreis!)
  3. 1.199,00€
  4. (u. a. Paperwhite 6 Zoll für 89,99€, Der neue Kindle mit integriertem Frontlicht für 59,99€)

GodsBoss 26. Okt 2013

Meiner Erfahrung nach reicht es auf den meisten Seiten, ein oder zwei Domains für die...

Endwickler 25. Okt 2013

Vielleicht enthält das hier etwas von dem, was du wissen willst: http://www.google.com...

dopamin85 25. Okt 2013

Ok hab was überlesen *sorry

belugs 25. Okt 2013

Hi, falls Du flash hast - ja! Also es ist möglich! Aber es kann ja auch sein, dass Du es...


Folgen Sie uns
       


VW-Elektroautos aus Zwickau - Bericht

Der Volkswagen-Konzern will ab 2020 in Zwickau nur noch Elektroautos bauen - wir haben uns die Umstellung angesehen.

VW-Elektroautos aus Zwickau - Bericht Video aufrufen
Atari Portfolio im Retrotest: Endlich können wir unterwegs arbeiten!
Atari Portfolio im Retrotest
Endlich können wir unterwegs arbeiten!

Ende der 1980er Jahre waren tragbare PCs nicht gerade handlich, der Portfolio von Atari war eine willkommene Ausnahme: Der erste Palmtop-Computer der Welt war klein, leicht und weitestgehend DOS-kompatibel - ideal für Geschäftsreisende aus dem Jahr 1989 und Nerds aus dem Jahr 2019.
Ein Test von Tobias Költzsch

  1. Retrokonsole Hauptverantwortlicher des Atari VCS schmeißt hin

Rabbids Coding angespielt: Hasenprogrammierung für Einsteiger
Rabbids Coding angespielt
Hasenprogrammierung für Einsteiger

Erst ein paar einfache Anweisungen, dann folgen Optimierungen: Mit dem kostenlos erhältlichen PC-Lernspiel Rabbids Coding von Ubisoft können Jugendliche und Erwachsene ein bisschen über Programmierung lernen und viel Spaß haben.
Von Peter Steinlechner

  1. Transport Fever 2 angespielt Wachstum ist doch nicht alles
  2. Mordhau angespielt Die mit dem Schwertknauf zuschlagen
  3. Bus Simulator angespielt Zwischen Bodenschwelle und Haltestelle

Alexa: Das allgegenwärtige Ohr Amazons
Alexa
Das allgegenwärtige Ohr Amazons

Die kürzlich angekündigten Echo-Produkte bringen Amazons Sprachassistentin Alexa auf die Straße und damit Datenschutzprobleme in die U-Bahn oder in bisher Alexa-freie Wohnzimmer. Mehrere Landesdatenschutzbeauftragte haben Golem.de erklärt, ob und wie die Geräte eingesetzt werden dürfen.
Von Moritz Tremmel

  1. Digitaler Assistent Amazon bringt neue Funktionen für Alexa
  2. Echo Frames und Echo Loop Amazon zeigt eine Brille und einen Ring mit Alexa
  3. Alexa Answers Nutzer smarter Lautsprecher sollen Alexa Wissen beibringen

    •  /