phpMyAdmin mit Backdoor
Zeitweise wurde über einen der offiziellen Download-Server eine manipulierte Version des Datenbankverwaltungstools verteilt, die ein Backdoor-Skript enthält.
- Ronald Eikenberg
Unbekannten gelang es, über einen offiziellen Downloadserver von SourceForge eine manipulierte Version des Datenbankverwaltungstools phpMyAdmin zu verteilten, die eine Backdoor enthält. Die Hintertür befand sich in dem Installationsarchiv phpMyAdmin-3.5.2.2-all-languages.zip, das ungefähr seit dem 22. September über den koreanischen Server cdnetworks-kr-1 verteilt wurde.
In dem manipulierten Archiv befindet sich ein Skript namens server_sync.php, durch das ein Angreifer beliebige PHP-Befehle in den Server einschleusen kann. Wer sich phpMyAdmin in letzter Zeit heruntergeladen hat, sollte also überprüfen, ob sich die Datei in dem ZIP-Archiv befindet. Laut dem Advisory der Entwickler haben die Unbekannten darüber hinaus die Datei js/cross_framing_protection.js modifiziert. Welche Folgen das hat, geht nicht aus dem Advisory hervor.
SourceForge hat rund 400 Downloads der modifizierten Datei gezählt. Der Open-Source-Hoster ist die offizielle Download-Quelle von phpMyAdmin. Will man das Tool herunterladen, bekommt man automatisch einen Mirror von SourceForge vorgeschlagen. Der Hoster hat den betroffenen Spiegelserver bis auf Weiteres aus der Rotation entfernt. (rei)
