Login
Login-Name Passwort


 
Newsletter
Werbung

Fr, 25. Oktober 2013, 11:52

Software::Entwicklung

Einbruch bei php.net

Das PHP-Projekt hat einen Einbruch in zwei seiner Server entdeckt. Die Dienste wurden schnell neu aufgesetzt, weitere Maßnahmen laufen noch.

The PHP Group

Das Ziel der Einbrecher war offenbar, Malware über eine modifizierte Javascript-Datei zu verbreiten. Dies wurde von Google am gestrigen Donnerstag registriert. Das PHP-Projekt wurde schnell darauf aufmerksam und begann, das Problem zu untersuchen. Noch bevor die Ursache des Problems klar war, reagierte das Projekt in einer ersten Maßnahme mit der Migration des Webdienstes auf andere, sichere Server und verifizierte die Integrität der Download-Dateien und des Quellcodes. Hierbei wurden keine Manipulationen festgestellt.

Wenige Stunden später ergaben die Analysen dann, dass zwei Server des Projektes kompromittiert waren. Neben dem Server, der die Domains www.php.net, static.php.net und git.php.net ausliefert, war auch bugs.php.net betroffen. Auf welchem Weg es den Kriminellen gelang, in die Server einzubrechen, ist noch nicht bekannt.

Wie das Projekt mitteilt, sind die betroffenen Dienste inzwischen auf andere Server migriert. Die Integrität des Git-Repositoriums wurde sichergestellt, es wurde jedoch in den Nur-Lese-Modus versetzt und bleibt in diesem, bis alles restlos geklärt ist.

Es kann nicht ausgeschlossen werden, dass die Einbrecher den privaten Schlüssel des SSL-Zertifikats der PHP-Server kopiert haben. Daher wurde dieser Schlüssel für ungültig erklärt und ein neuer beantragt. Dieser soll binnen weniger Stunden vorliegen, so dass dann auch die Dienste, die SSL voraussetzen (darunter bugs.php.net und wiki.php.net) wieder erreichbar sind. Auch die Passwörter der Benutzer der PHP-Webseiten, überwiegend PHP-Entwickler, werden in Kürze durch neue ersetzt.

Durch den Einbruch lieferte der PHP-Webserver über die manipulierte Javascript-Datei im Zeitraum vom 22. bis 24. Oktober Malware aus. Wie das Projekt erläutert, war davon allerdings nur ein kleiner Prozentsatz der Besucher betroffen, da die manipulierte Datei immer nur kurzzeitig aktiv war.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung