Cyber-Kriminelle haben die PHP.net-Webseite angegriffen und zwei ihrer Server so manipuliert, dass sie zwischen dem 22. und 24. Oktober 2013 bösartige iFrames an verschiedene Anwender verbreiten konnte. Der Vorfall wurde entdeckt, als das Safe Browsing System von Google vier PHP.net-Seiten als bösartig markiert hatte.

Die Administratoren von PHP haben daraufhin die Javascript-Malware entfernt, aber es ist bis jetzt noch nicht klar, wie die Angreifer sich Zugang zu den Seiten verschaffen konnten. Sie gaben bekannt, dass das PHP Quellcode Repository nicht von der Manipulation betroffen war. Sie räumten auch ein, dass die Angreifer sich jedoch Zugang zum SSL-Privatschlüssel der Webseite hätten verschaffen können, und haben deshalb die Zertifikate der Webseite zurückgenommen und die gesamte Seite auf neue Server mit neuen Zertifikaten umgelegt. Die Malware war auf Desktop-Computer ausgerichtet und nicht auf Mobilgeräte.

Im Zusammenhang mit diesem Vorfall wurde anfangs die Richtigkeit von Googles Safe Browsing System infrage gestellt, da die Malware nur hier und da auf den PHP.net-Seiten zu finden war. Doch die Experten sind sich sicher, dass Google richtig lag mit seiner Einstufung. Barracuda Labs berichteten über bösartige Shockwave (Flash) Dateien, die von dem Javascript ausgingen. Kaspersky Labs wiesen darauf hin, dass das vom Javascript kreierte iFrame auf eine Installation des Magnitude Exploit Kits hindeutete, welches versuchen würde, einen Trojaner namens Tepfer einzuschleusen. Trustwave Spider Labs bestätigten die Shockwave-Meldung und entdeckten auch, dass das Skript auf CVE-2013-2551 zielte, ein Fehler des Internet Explorers, welcher bereits von VUPEN entdeckt worden war.

PHP.net gab bekannt, dass es die Passwörter seiner Anwender in den nächsten Tagen zurücksetzen werde.

Artikel von zdnet.com, 28.10.2013: PHP project site hacked, served malware
Artikel von computerworlduk.com, PHP.net confirms server breach after Google flags them for malware