Abo
  • Services:
Anzeige
Server des PHP-Teams erfolgreich angegriffen
Server des PHP-Teams erfolgreich angegriffen (Bild: PHP.net)

Angriff PHP.net als Malware-Schleuder missbraucht

Angreifer haben Webinhalte der offiziellen PHP-Website Php.net modifiziert und darüber Malware an Nutzer verteilt. Wie der Einbruch in die Server gelang, konnte noch nicht geklärt werden.

Anzeige

Php.net, die offizielle Website des PHP-Projekts, ist als Malware-Schleuder missbraucht worden. Die Seite zählt laut Alexa zu den 250 am häufigsten aufgerufenen Websites weltweit.

Aufgefallen ist der Einbruch durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte. PHP-Erfinder Rasmus Lerdorf hielt die Warnung zunächst für einen Fehler aufseiten von Google, da das zu beobachtende Verhalten - minimierter und verschleierter Code, der dynamisch in die Datei userprefs.js eingefügt wird - beabsichtigt war. Das PHP-Team musste aber in der Nacht feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt.

Bei der Analyse der Logfiles von static.php.net fiel auf, dass die Datei userprefs.js ab und an mit der falschen Größe ausgeliefert wird, nach einigen Minuten aber wieder korrekt aussah. Das liegt an einem Cronjob, der Dateien per rsync abgleicht. Googles Crawler hat die Seite aber in einem Moment erfasst, als eine veränderte Datei ausgeliefert wurde. Ein glücklicher Zufall, denn andernfalls wäre der Einbruch wohl erst später bemerkt worden.

Im Rahmen der weiteren Analyse wurden alle Server überprüft: Neben static.php.net, auf dem auch die Domain git.php.net gehostet wird, war demnach auch der für bugs.php.net betroffen.

Vom 22. bis zum 24. Oktober Malware ausgeliefert

Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden.

Bleibt die Frage, wie es den Angreifern gelungen ist, die Datei immer wieder zu modifizieren. Eine Antwort darauf hat das PHP-Team noch nicht. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt.

Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt.

Möglicherweise Zugriff auf privaten SSL-Schlüssel

Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.


eye home zur Startseite
GodsBoss 26. Okt 2013

Meiner Erfahrung nach reicht es auf den meisten Seiten, ein oder zwei Domains für die...

Endwickler 25. Okt 2013

Vielleicht enthält das hier etwas von dem, was du wissen willst: http://www.google.com...

dopamin85 25. Okt 2013

Ok hab was überlesen *sorry

belugs 25. Okt 2013

Hi, falls Du flash hast - ja! Also es ist möglich! Aber es kann ja auch sein, dass Du es...



Anzeige

Stellenmarkt
  1. MICHELFELDER Gruppe über Baumann Unternehmensberatung AG, Raum Schramberg
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. PTV Group, Karlsruhe
  4. Bechtle Onsite Services GmbH, Neckarsulm


Anzeige
Spiele-Angebote
  1. (-78%) 7,99€
  2. 49,99€
  3. 28,99€

Folgen Sie uns
       

  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch ermöglicht unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

3D-Druck bei der Bahn: Mal eben einen Kleiderhaken für 80 Euro drucken
3D-Druck bei der Bahn
Mal eben einen Kleiderhaken für 80 Euro drucken
  1. Bahnchef Richard Lutz Künftig "kein Ticket mehr für die Bahn" notwendig
  2. Flatrate Öffentliches Fahrradleihen kostet 50 Euro im Jahr
  3. Nextbike Berlins neues Fahrradverleihsystem startet

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

  1. Re: Siri und diktieren

    Proctrap | 02:15

  2. Re: Habe nach meinen Umzug knapp ein halbes Jahr...

    Trockenobst | 00:58

  3. Re: Warum?

    NeoXolver | 00:48

  4. Re: Mittelmäßig nützlich, ersetzt kein LTE

    GnomeEu | 00:40

  5. Re: Ich weiß nicht ob ihr nur reiche Leute kennt

    chithanh | 00:27


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel