Advarselen skadevare på php.net, som Google viste til brukere av blant annet Chrome, var ikke grunnløs. (Bilde: digi.no)

PHP.net var infisert

Serverte skadevare til brukerne.

Som digi.no skrev i forrige uke, ble nettstedet til The PHP Group, php.net, sperret av Google sist onsdag etter funn av skadevare på nettstedet. I ettertid har det blitt bekreftet at to av nettstedet servere var blitt kompromittert. Disse serverne ble brukt til å levere blant annet www.php.net, git.php.net og bugs.php.net. Fortsatt ser det ut til at det er ukjent hvordan kompromitteringen har skjedd.

The PHP Group opplyser at alle berørte tjenester har blitt flyttet vekk fra disse serverne. Det er også bekreftet at Git-forrådet ikke har blitt kompromittert.

Det mistenkes at angriperne kan ha fått tilgang til den private nøkkelen til SSL-sertifikatet til nettstedet. Derfor har dette blitt tilbakekalt og skiftet ut.

Skadevaren som ble levert via php.net-nettstedet var JavaScript-basert. Men ifølge The PHP Group skal bare en liten andel av php.net-brukerne ha blitt utsatt for den i perioden 22. til 24 oktober.

Den berørte filen heter «userprefs», hvor det var satt inn en mengde lite lesbar kode. Denne koden åpnet en skjult iframe på visse php.net-sider. Detaljer om dette, inkludert selve kode, finnes her.

Brukere som logger seg på php.net for å laste opp kode, vil måtte bytte passord.

Oppdatert kl. 13.58: Avsnitt med misforstått tolkning av sikkerhetsråd er fjernet fra saken.

    Les også:

Til toppen