Abo
  • Services:
Anzeige
Server des PHP-Teams erfolgreich angegriffen
Server des PHP-Teams erfolgreich angegriffen (Bild: PHP.net)

Angriff PHP.net als Malware-Schleuder missbraucht

Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.

Anzeige

Php.net, die offizielle Website des PHP-Projekts, ist als Malware-Schleuder missbraucht worden. Die Seite zählt laut Alexa zu den 250 am häufigsten aufgerufenen Websites weltweit.

Aufgefallen ist der Einbruch durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte. PHP-Erfinder Rasmus Lerdorf hielt die Warnung zunächst für einen Fehler aufseiten von Google, da das zu beobachtende Verhalten - minimierter und verschleierter Code, der dynamisch in die Datei userprefs.js eingefügt wird - beabsichtigt war. Das PHP-Team musste aber in der Nacht feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt.

Bei der Analyse der Logfiles von static.php.net fiel auf, dass die Datei userprefs.js ab und an mit der falschen Größe ausgeliefert wird, nach einigen Minuten aber wieder korrekt aussah. Das liegt an einem Cronjob, der Dateien per rsync abgleicht. Googles Crawler hat die Seite aber in einem Moment erfasst, als eine veränderte Datei ausgeliefert wurde. Ein glücklicher Zufall, denn andernfalls wäre der Einbruch wohl erst später bemerkt worden.

Im Rahmen der weiteren Analyse wurden alle Server überprüft: Neben static.php.net, auf dem auch die Domain git.php.net gehostet wird, war demnach auch der für bugs.php.net betroffen.

Vom 22. bis zum 24. Oktober Malware ausgeliefert

Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden.

Bleibt die Frage, wie es den Angreifern gelungen ist, die Datei immer wieder zu modifizieren. Eine Antwort darauf hat das PHP-Team noch nicht. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt.

Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt.

Möglicherweise Zugriff auf privaten SSL-Schlüssel

Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.


eye home zur Startseite
GodsBoss 26. Okt 2013

Meiner Erfahrung nach reicht es auf den meisten Seiten, ein oder zwei Domains für die...

Endwickler 25. Okt 2013

Vielleicht enthält das hier etwas von dem, was du wissen willst: http://www.google.com...

dopamin85 25. Okt 2013

Ok hab was überlesen *sorry

belugs 25. Okt 2013

Hi, falls Du flash hast - ja! Also es ist möglich! Aber es kann ja auch sein, dass Du es...



Anzeige

Stellenmarkt
  1. BIOSCIENTIA Institut für Medizinische Diagnostik GmbH, Ingelheim
  2. UTILITY PARTNERS GmbH, Raum Stuttgart
  3. ViaMedia AG, nordöstlich von Stuttgart
  4. über Hays AG, Dessau


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  2. 299,99€ (Vorbesteller-Preisgarantie)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

  1. Asus Rog Strix

    Notebooks mit 120-Hz-Display für LoL und Pubg vorgestellt

  2. Raumfahrt

    SpaceX schickt gebrauchtes Gespann zur ISS

  3. Android-Verbreitung

    Oreo gibt die rote Laterne ab

  4. Q# und QDK

    Microsoft veröffentlicht Entwicklungskit für Quantenrechner

  5. Corning

    3M verkauft seine Glasfaserproduktion

  6. In eigener Sache

    Golem pur verschenken

  7. Home Max

    Googles smarter Toplautsprecher kommt pünktlich

  8. Raumfahrtpolitik

    Amerika will wieder zum Mond - und noch viel weiter

  9. iOS und Android

    Google lanciert drei experimentelle Foto-Apps

  10. Berlin

    Verkehrsbetriebe wollen Elektrobusse während der Fahrt laden



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
4K UHD HDR: Das ZDF hat das Internet nicht verstanden
4K UHD HDR
Das ZDF hat das Internet nicht verstanden
  1. Cisco und Lancom Wenn Spionagepanik auf Industriepolitik trifft
  2. Encrypted Media Extensions Web-DRM ist ein Standard für Nutzer

King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
Bundesregierung
Mit verdrehten Zahlen gegen die ePrivacy-Verordnung
  1. Steuerstreit Apple zahlt 13 Milliarden Euro an Irland
  2. Rechtsunsicherheit bei Cookies EU warnt vor Verzögerung von ePrivacy-Verordnung
  3. Datenschutz EU-Parlament stimmt ePrivacy-Verordnung zu

  1. Re: Dreist. Preise nach Registrierung?

    ScaniaMF | 11:15

  2. Re: Oberleitungen sind geldverschwendung

    Batsbak | 11:13

  3. Re: Habe es soeben deinstalliert

    marcelpape | 11:11

  4. Re: Kundenfreundlichkeit vs. Schwarzfahrangst

    My1 | 11:11

  5. Re: Richtiger und vernünftiger Schritt.

    kendon | 11:09


  1. 11:19

  2. 10:48

  3. 10:34

  4. 10:18

  5. 10:00

  6. 09:27

  7. 08:43

  8. 08:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel