(Bilde: Illustrasjon: Hardware.no/Shutterstock/php.net)

Offisiell PHP-nettside hacket og stengt ned

Besøkende til PHP.net smittet av ondsinnet programvare.

Den offisielle PHP-nettsiden PHP.net ble tirsdag gjort om til avsender for skadelig programvare. Ukjente angripere klarte å modifisere innholdet på serverne til nettstedet, slik at besøkende ble utsatt for et stykke maskert JavaScript-kode, som gjorde at de fikk installert skadelig programvare på sine datamaskiner.

En av brukerne på Hacker News klarte å få fatt i deler av den skjulte koden fra bufferminnet på maskinen sin. Ved å dekryptere denne blir det demonstrert at besøkende, uten å selv bli gjort klar over det, kobler seg til et eksternt domene for å hente ned den skadelige programvaren.

Slik JavaScript-maskering har vi tidligere blitt vist av eksepertene:
Her viser han hvordan du får virus fra vanlig nettsurfing »

Smittet besøkende med «usynlig» trojaner

De eksterne domenene besøkende ble videresendt til hadde etter alt å dømme også blitt kompromittert av angriperne, ettersom de tilsynelatende skulle peke til britiske nettsteder. Istedet pekte domenenavnene til IP-adresser i Moldova, men så langt stanser sporet der, ifølge sikkerhetseksperter Ars Technica har snakket med.

Ifølge virusforskere hos Kaspersky Labs ble de smittede brukerne infisert med en trojaner ved navn Tepfer; skriver nettstedet videre. Dette betyr at de aller færreste som ble utsatt for smitte ville ha lagt merke til det, ettersom ikke mer enn drøyt ti prosent av antivirusprogrammer var i stand til å oppdage denne trojaneren da angrepet startet.

Flyttet innholdet til nye servere

Det var Googles automatiske program for å blokkere sider med skadelig innhold som først oppdaget angrepet, tidlig torsdag morgen. Da ble besøkende som bruker Chrome eller Firefox møtt med en klar advarsel om at de burde holde seg unna, noe som bekreftes i en uttalelse fra PHP.net fra sent i går kveld.

PHP.net forteller videre at de først trodde Google hadde tatt feil, men likevel prøvde å finne feilen. Det viste seg at den skadelige kodesnutten ikke ble servert til alle besøkende, men at innholdet på serveren ble modifisert automatisk slik at den faktiske javascript-filen angriperne ville benytte ikke eksisterte når man jaktet på den.

Google hadde dog tilfeldigvis gjort et sveip i ett av de korte tidsrommene hvor den skadelige filen var tilgjengelig, og derfor satt ned foten. Da PHP.net sine egne sikkerhetsfolk fant den samme filen tok de også ned hele nettstedet, for å sikre at angrepet ble stanset.

Flytter servere og alle passord

For øyeblikket er det ikke kjent hvem som står bak angrepet, eller hvor mange som er rammet. PHP.net forteller imidlertid at kun en liten prosentandel av besøkende mellom tirsdag og torsdag denne uken har noe å uroe seg for, samt at ingen av filene som inneholder kildekode for PHP-prosjektene er berørt.

To servere tilhørende PHP.net sine domener er dessuten tatt ut av drift, og alle tjenester er nå flyttet over på nye, sikre servere. Som et ekstra sikkerhetstiltak vil også alle passord for registrerte brukere av PHP.net bli nullstilt i løpet av de neste par dagene.

Dette angrepet bekrefter noe vi har fortalt tidligere:
Helt vanlige nettsider er de aller farligste »

(Kilder: Hacker News, PHP.netArs Technica)

Kommentarer (12)

Norges beste mobilabonnement

Desember 2016

Kåret av Tek-redaksjonen

Jeg bruker lite data:

ICE Mobil 1GB


Jeg bruker middels mye data:

Hello 5GB


Jeg bruker mye data:

Hello 10 GB


Jeg er superbruker:

Telia Smart Total


Finn billigste abonnement i vår mobilkalkulator

Forsiden akkurat nå

Til toppen