Το site της PHP μολύνθηκε και σέρβιρε malware στους επισκέπτες του

[nnn]

Οι επισκέπτες στο επίσημο site της γλώσσας προγραμματισμού PHP τις τελευταίες ημέρες, είναι πιθανόν να έχουν μολύνει τα PCs τους με malware που hackers κατάφεραν να εισάγουν στο php.net site.

Η μόλυνση έγινε με τοποθέτηση κακόβουλου JavaScript κώδικα στο αρχείο userprefs.js, μέσω του οποίου στέλνονταν αιτήσεις σε εξωτερικό site που σκάναρε τον browser του επισκέπτη για ευάλωτα plugins και όταν τα εντόπιζε μέσω exploits εγκαθιστούσε στον υπολογιστή malware.

Τα exploits, την κίνηση data των οποίων κατέγραψαν εργαλεία της Barracuda, έρχονταν σε μορφή κώδικα flash, SWF, κάνοντας πιο πιθανή την επίθεση εναντίον αδυναμίων στον Adobe Flash Player, και μετά την επιτυχή εγκατάσταση προσπαθεί να συνδεθεί σε 36 διαφορετικούς command-and-control servers παγκοσμίως και από ότι φαίνεται το καταφέρνει σε 4 από αυτούς.

Το PHP Group που διαχειρίζεται το php.net και τα πακέτα διανομής της PHP, στην αρχή νόμιζε πως το πρόβλημα προέρχεται από σφάλμα του Google Safe Browsing detection, όταν το site τους έγινε blacklisted και οι χρήστες Firefox και Chrome λάμβαναν προειδοποίηση πως αυτό περιέχει malware, ενώ ισχυρίζονται πως τα πακέτα της PHP δεν μολύνθηκαν.

Πηγή : Infoworld

[macjohny]

ότι να ναι...

[sotos65]

"Ωραία" πράγματα...

[MitsakosGR]

The Google Webmaster Tools were initially quite delayed in showing the reason why and when they did it looked a lot like a false positive because we had some minified/obfuscated javascript being dynamically injected into userprefs.js. This looked suspicious to us as well, but it was actually written to do exactly that so we were quite certain it was a false positive, but we kept digging.

It turned out that by combing through the access logs for static.php.net it was periodically serving up userprefs.js with the wrong content length and then reverting back to the right size after a few minutes. This is due to an rsync cron job. So the file was being modified locally and reverted. Google's crawler caught one of these small windows where the wrong file was being served, but of course, when we looked at it manually it looked fine. So more confusion.

Με άλλα λόγια πήραν πρώτα πρόσβαση στον server, μελέτησαν τα αρχεία τους και τα μόλυναν έτσι ώστε ούτε αυτοί δεν καταλάβαιναν ότι κάτι δεν πάει καλά...

[DVader]

"Ωραία" πράγματα...

[tsigarid]

Έχει γίνει και σε άλλα sites παλιότερα αυτό, σημάδι ότι δεν είναι κανένα μέρος ασφαλές, ακόμα και αν είναι θεωρητικά αξιόπιστο.

[dpa2006]

Ωραία...
διορθώθηκε...;

[MitsakosGR]

Ωραία...
διορθώθηκε...;

Από το php.net:

We are still investigating how someone caused that file to be changed, but in the meantime we have migrated www/static to new clean servers.

[DVader]

Έχει γίνει και σε άλλα sites παλιότερα αυτό, σημάδι ότι δεν είναι κανένα μέρος ασφαλές, ακόμα και αν είναι θεωρητικά αξιόπιστο.

100%

[aiolos.01]

Κοίτα να δεις που τελικά είχε δίκιο η google...

[Helix]

Σε τί είχε δίκιο;

[Larry71]

Ευτυχώς που δε μπήκα τις τελευταίες μέρες...

[dpa2006]

Από το php.net:

Θετικό,ευτυχώς που δεν χρειάστηκε να το επισκεφτώ πρόσφατα.

[kostas king]

Όχι και αυτό.......πόσα άλλα γνωστά σιτε θα δεχθούν επίθεση;

[serfistas1]

Τελικά για αυτό εγκαταλείφθηκε και απαξιώθηκε...