phpMyAdmin mit Backdoor

Zeitweise wurde über einen der offiziellen Download-Server eine manipulierte Version des Datenbankverwaltungstools verteilt, die ein Backdoor-Skript enthält.

In Pocket speichern vorlesen Druckansicht 89 Kommentare lesen
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Unbekannten gelang es, über einen offiziellen Downloadserver von SourceForge eine manipulierte Version des Datenbankverwaltungstools phpMyAdmin zu verteilten, die eine Backdoor enthält. Die Hintertür befand sich in dem Installationsarchiv phpMyAdmin-3.5.2.2-all-languages.zip, das ungefähr seit dem 22. September über den koreanischen Server cdnetworks-kr-1 verteilt wurde.

In dem manipulierten Archiv befindet sich ein Skript namens server_sync.php, durch das ein Angreifer beliebige PHP-Befehle in den Server einschleusen kann. Wer sich phpMyAdmin in letzter Zeit heruntergeladen hat, sollte also ĂĽberprĂĽfen, ob sich die Datei in dem ZIP-Archiv befindet. Laut dem Advisory der Entwickler haben die Unbekannten darĂĽber hinaus die Datei js/cross_framing_protection.js modifiziert. Welche Folgen das hat, geht nicht aus dem Advisory hervor.

SourceForge hat rund 400 Downloads der modifizierten Datei gezählt. Der Open-Source-Hoster ist die offizielle Download-Quelle von phpMyAdmin. Will man das Tool herunterladen, bekommt man automatisch einen Mirror von SourceForge vorgeschlagen. Der Hoster hat den betroffenen Spiegelserver bis auf Weiteres aus der Rotation entfernt. (rei)