PHP.net zur Verbreitung von Malware missbraucht

Entgegen früherer Aussagen der Administratoren wurde die Projektseite von PHP doch Opfer eines Hackerangriffs. Zwei Server wurden gekapert und zur Verteilung von Schadcode eingesetzt.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen
Lesezeit: 2 Min.
Von
  • Fabian A. Scherschel

Die Webseite des PHP-Projektes ist Opfer eines Hackerangriffs geworden. Unbekannten gelang es, zwei Server zu übernehmen und Javascript-Schadcode einzuschleusen, der die Besuchern der Seite den Windows-Trojaner Tepfer mit Hilfe des Magnitude Exploit Kits unterschob. Die Betreiber der Webseite gaben bekannt, dass es keine Hinweise darauf gebe, dass der von ihnen verwaltete Quellcode der PHP-Programmiersprache beeinträchtigt worden sei. Die Administratoren haben die Webseite trotzdem vorsorglich auf neue Server umgezogen und arbeiten nun an einer nachträglichen Aufklärung des Angriffs. Wie die Hacker sich Zugang zu der Infrastruktur des Projektes verschaffen konnte, ist bisher nicht bekannt.

Die Administratoren von PHP.net wurden auf das Problem aufmerksam, nachdem Googles URL-Blacklist SafeBrowsing Besuchern gemeldet hatte, die Seite sei mit vier verschiedenen Trojanern verseucht. Laut den Betreibern wurde ihnen der Angriff am Donnerstag um 8:15 Uhr deutscher Zeit gemeldet, um 10:00 Uhr habe man neu aufgesetzte Server ans Netz genommen. In der Zwischenzeit seien Besucher der Seite dem Schadcode ausgesetzt gewesen.

Zuerst hatten die Betreiber angenommen, die von Google ausgegebene Warnung sei ein Fehlalarm gewesen. Auf den Webseiten wird unleserlich gemachter Javascript-Code dynamisch in eine Datei namens userprefs.js geladen. Die Administratoren hatten angenommen, dass Google dieses gewünschte Verhalten als Schadcode interpretiert hätte. Sie stellten dann später selbst fest, dass der Javascript-Code in der Tat lokal auf dem Server durch Schadcode ersetzt worden war, welcher dann von Zeit zu Zeit durch einen Cronjob wieder auf die harmlose Variante zurückgesetzt wurde. Beim Crawlen der Webseite hatte Google wohl den schadhaften Code erwischt, während die Administratoren bei ihrer manuellen Prüfung nur die harmlose Variante sahen.

Noch ist nicht klar, wie es den Angreifern gelang, den Code einzuschleusen. Das PHP-Team hat die beiden betroffenen Server vom Netz genommen und auch das SSL-Zertifikat der Seite widerrufen, da nicht ausgeschlossen werden kann, dass die Angreifer Zugriff auf dessen geheimen Schlüssel hatten. Ein neues Zertifikat wurde mittlerweile ausgestellt und installiert. In der Zwischenzeit waren alle Teile der Webseite, die über HTTPS benutzt werden konnten, temporär abgestellt. Das betraf unter anderem den Bugtracker und das Wiki des Open-Source-Projekts. (fab)