Abo
  • IT-Karriere:

Angriff: PHP.net als Malware-Schleuder missbraucht

Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.

Artikel veröffentlicht am ,
Server des PHP-Teams erfolgreich angegriffen
Server des PHP-Teams erfolgreich angegriffen (Bild: PHP.net)

Php.net, die offizielle Website des PHP-Projekts, ist als Malware-Schleuder missbraucht worden. Die Seite zählt laut Alexa zu den 250 am häufigsten aufgerufenen Websites weltweit.

Stellenmarkt
  1. KDO Service GmbH, Oldenburg
  2. BWI GmbH, Bonn, München, Schwielowsee

Aufgefallen ist der Einbruch durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte. PHP-Erfinder Rasmus Lerdorf hielt die Warnung zunächst für einen Fehler aufseiten von Google, da das zu beobachtende Verhalten - minimierter und verschleierter Code, der dynamisch in die Datei userprefs.js eingefügt wird - beabsichtigt war. Das PHP-Team musste aber in der Nacht feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt.

Bei der Analyse der Logfiles von static.php.net fiel auf, dass die Datei userprefs.js ab und an mit der falschen Größe ausgeliefert wird, nach einigen Minuten aber wieder korrekt aussah. Das liegt an einem Cronjob, der Dateien per rsync abgleicht. Googles Crawler hat die Seite aber in einem Moment erfasst, als eine veränderte Datei ausgeliefert wurde. Ein glücklicher Zufall, denn andernfalls wäre der Einbruch wohl erst später bemerkt worden.

Im Rahmen der weiteren Analyse wurden alle Server überprüft: Neben static.php.net, auf dem auch die Domain git.php.net gehostet wird, war demnach auch der für bugs.php.net betroffen.

Vom 22. bis zum 24. Oktober Malware ausgeliefert

Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden.

Bleibt die Frage, wie es den Angreifern gelungen ist, die Datei immer wieder zu modifizieren. Eine Antwort darauf hat das PHP-Team noch nicht. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt.

Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt.

Möglicherweise Zugriff auf privaten SSL-Schlüssel

Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.



Anzeige
Top-Angebote
  1. (u. a. Seasonic Focus Gold 450 W für 46,99€ statt über 60€ im Vergleich)
  2. 92,60€
  3. 999€ (Vergleichspreis 1.111€)

GodsBoss 26. Okt 2013

Meiner Erfahrung nach reicht es auf den meisten Seiten, ein oder zwei Domains für die...

Endwickler 25. Okt 2013

Vielleicht enthält das hier etwas von dem, was du wissen willst: http://www.google.com...

dopamin85 25. Okt 2013

Ok hab was überlesen *sorry

belugs 25. Okt 2013

Hi, falls Du flash hast - ja! Also es ist möglich! Aber es kann ja auch sein, dass Du es...


Folgen Sie uns
       


Backup per Band angesehen

Das Rattern des Roboterarms und Rauschen der Klimaanlage: Golem.de hat sich Bandlaufwerke in Aktion beim Geoforschungszentrum Potsdam angeschaut. Das Ziel: zu erfahren, was die 60 Jahre alte Technik noch immer sinnvoll macht.

Backup per Band angesehen Video aufrufen
Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Digitaler Knoten 4.0: Auto und Ampel im Austausch
    Digitaler Knoten 4.0
    Auto und Ampel im Austausch

    Auf der Autobahn klappt das autonome Fahren schon recht gut. In der Stadt brauchen die Autos jedoch Unterstützung. In Braunschweig testet das DLR die Vernetzung von Autos und Infrastruktur, damit die autonom fahrenden Autos im fließenden Verkehr links abbiegen können.
    Ein Bericht von Werner Pluta

    1. LTE-V2X vs. WLAN 802.11p Wer hat Recht im Streit ums Auto-WLAN?
    2. Vernetztes Fahren Lobbyschlacht um WLAN und 5G in Europa
    3. Gefahrenwarnungen EU setzt bei vernetztem Fahren weiter auf WLAN

    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

      •  /