Abo
  • IT-Karriere:

Angriff: PHP.net als Malware-Schleuder missbraucht

Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.

Artikel veröffentlicht am ,
Server des PHP-Teams erfolgreich angegriffen
Server des PHP-Teams erfolgreich angegriffen (Bild: PHP.net)

Php.net, die offizielle Website des PHP-Projekts, ist als Malware-Schleuder missbraucht worden. Die Seite zählt laut Alexa zu den 250 am häufigsten aufgerufenen Websites weltweit.

Stellenmarkt
  1. OEDIV KG, Bielefeld
  2. Folkwang Universität der Künste, Essen, Köln

Aufgefallen ist der Einbruch durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte. PHP-Erfinder Rasmus Lerdorf hielt die Warnung zunächst für einen Fehler aufseiten von Google, da das zu beobachtende Verhalten - minimierter und verschleierter Code, der dynamisch in die Datei userprefs.js eingefügt wird - beabsichtigt war. Das PHP-Team musste aber in der Nacht feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt.

Bei der Analyse der Logfiles von static.php.net fiel auf, dass die Datei userprefs.js ab und an mit der falschen Größe ausgeliefert wird, nach einigen Minuten aber wieder korrekt aussah. Das liegt an einem Cronjob, der Dateien per rsync abgleicht. Googles Crawler hat die Seite aber in einem Moment erfasst, als eine veränderte Datei ausgeliefert wurde. Ein glücklicher Zufall, denn andernfalls wäre der Einbruch wohl erst später bemerkt worden.

Im Rahmen der weiteren Analyse wurden alle Server überprüft: Neben static.php.net, auf dem auch die Domain git.php.net gehostet wird, war demnach auch der für bugs.php.net betroffen.

Vom 22. bis zum 24. Oktober Malware ausgeliefert

Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden.

Bleibt die Frage, wie es den Angreifern gelungen ist, die Datei immer wieder zu modifizieren. Eine Antwort darauf hat das PHP-Team noch nicht. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt.

Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt.

Möglicherweise Zugriff auf privaten SSL-Schlüssel

Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.



Anzeige
Spiele-Angebote
  1. 29,99€
  2. 3,99€
  3. 29,99€
  4. 15,49€

GodsBoss 26. Okt 2013

Meiner Erfahrung nach reicht es auf den meisten Seiten, ein oder zwei Domains für die...

Endwickler 25. Okt 2013

Vielleicht enthält das hier etwas von dem, was du wissen willst: http://www.google.com...

dopamin85 25. Okt 2013

Ok hab was überlesen *sorry

belugs 25. Okt 2013

Hi, falls Du flash hast - ja! Also es ist möglich! Aber es kann ja auch sein, dass Du es...


Folgen Sie uns
       


Doom 1 in der Doom 3 Engine angespielt

Doom Reborn benötigt eine Vollversion von Doom 3 und ist bei moddb.com kostenlos erhältlich. Die Mod wurde von Michael Hanlon entwickelt.

Doom 1 in der Doom 3 Engine angespielt Video aufrufen
IT-Arbeit: Was fürs Auge
IT-Arbeit
Was fürs Auge

Notebook, Display und Smartphone sind für alle, die in der IT arbeiten, wichtige Werkzeuge. Damit man etwas mit ihnen anfangen kann, ist ein anderes Werkzeug mindestens genauso wichtig: die Augen. Wir geben Tipps, wie man auch als Freiberufler augenschonend arbeiten kann.
Von Björn König

  1. Sysadmin "Man kommt erst ins Spiel, wenn es brennt"
  2. Verdeckte Leiharbeit Wenn die Firma IT-Spezialisten als Fremdpersonal einsetzt
  3. IT-Standorte Wie kann Leipzig Hypezig bleiben?

Zephyrus G GA502 im Test: Das Gaming-Notebook, das auch zum Arbeiten taugt
Zephyrus G GA502 im Test
Das Gaming-Notebook, das auch zum Arbeiten taugt

Mit AMDs Ryzen 7 und Nvidia-GPU ist das Zephyrus G GA502 ein klares Gaming-Gerät. Überraschenderweise eignet es sich aber auch als mobiles Office-Notebook. Das liegt an der beeindruckenden Akkulaufzeit.
Ein Test von Oliver Nickel

  1. Vivobook (X403) Asus packt 72-Wh-Akku in günstigen 14-Zöller
  2. ROG Swift PG35VQ Asus' 35-Zoll-Display nutzt 200 Hz, HDR und G-Sync
  3. ROG Gaming Phone II Asus plant neue Version seines Gaming-Smartphones

Google Maps: Karten brauchen Menschen statt Maschinen
Google Maps
Karten brauchen Menschen statt Maschinen

Wenn Karten nicht mehr von Menschen, sondern allein von Maschinen erstellt werden, erfinden diese U-Bahn-Linien, Hochhäuser im Nationalpark und unmögliche Routen. Ein kurze Liste zu den Grenzen der Automatisierung.
Von Sebastian Grüner

  1. Kartendienst Google bringt AR-Navigation und Reiseinformationen in Maps
  2. Maps Duckduckgo mit Kartendienst von Apple
  3. Google Maps zeigt Bikesharing in Berlin, Hamburg, Wien und Zürich

    •  /