Die Administratoren von PHP.net wurden auf das Problem aufmerksam, nachdem Googles URL-Blacklist SafeBrowsing Besuchern gemeldet hatte, die Seite sei mit vier verschiedenen Trojanern verseucht. Laut den Betreibern wurde ihnen der Angriff am Donnerstag um 8:15 Uhr deutscher Zeit gemeldet, um 10:00 Uhr habe man neu aufgesetzte Server ans Netz genommen. In der Zwischenzeit seien Besucher der Seite dem Schadcode ausgesetzt gewesen.
Zuerst hatten die Betreiber angenommen, die von Google ausgegebene Warnung sei gewesen. Auf den Webseiten wird unleserlich gemachter Javascript-Code dynamisch in eine Datei namens userprefs.js geladen. Die Administratoren hatten angenommen, dass Google dieses gewünschte Verhalten als Schadcode interpretiert hätte. Sie stellten dann später selbst fest, dass der Javascript-Code in der Tat lokal auf dem Server durch Schadcode ersetzt worden war, welcher dann von Zeit zu Zeit durch einen Cronjob wieder auf die harmlose Variante zurückgesetzt wurde. Beim Crawlen der Webseite hatte Google wohl den schadhaften Code erwischt, während die Administratoren bei ihrer manuellen Prüfung nur die harmlose Variante sahen.
Noch ist nicht klar, wie es den Angreifern gelang, den Code einzuschleusen. Das PHP-Team hat die beiden betroffenen Server vom Netz genommen und auch das SSL-Zertifikat der Seite widerrufen, da nicht ausgeschlossen werden kann, dass die Angreifer Zugriff auf dessen geheimen Schlüssel hatten. Ein neues Zertifikat wurde mittlerweile ausgestellt und installiert. In der Zwischenzeit waren alle Teile der Webseite, die über HTTPS benutzt werden konnten, temporär abgestellt. Das betraf unter anderem den Bugtracker und das Wiki des Open-Source-Projekts.
Quelle:
Bearbeitet von »Jura, 25 October 2013 - 12:55 Uhr.