Tek.no

Nyhet

Offisiell PHP-nettside hacket og stengt ned

Besøkende til PHP.net smittet av ondsinnet programvare.

Illustrasjon: Hardware.no/Shutterstock/php.net
Varg Aamo
25 Okt 2013 12:46

Den offisielle PHP-nettsiden PHP.net ble tirsdag gjort om til avsender for skadelig programvare. Ukjente angripere klarte å modifisere innholdet på serverne til nettstedet, slik at besøkende ble utsatt for et stykke maskert JavaScript-kode, som gjorde at de fikk installert skadelig programvare på sine datamaskiner.

En av brukerne på Hacker News klarte å få fatt i deler av den skjulte koden fra bufferminnet på maskinen sin. Ved å dekryptere denne blir det demonstrert at besøkende, uten å selv bli gjort klar over det, kobler seg til et eksternt domene for å hente ned den skadelige programvaren.

Slik JavaScript-maskering har vi tidligere blitt vist av eksepertene:
Her viser han hvordan du får virus fra vanlig nettsurfing »

Smittet besøkende med «usynlig» trojaner

De eksterne domenene besøkende ble videresendt til hadde etter alt å dømme også blitt kompromittert av angriperne, ettersom de tilsynelatende skulle peke til britiske nettsteder. Istedet pekte domenenavnene til IP-adresser i Moldova, men så langt stanser sporet der, ifølge sikkerhetseksperter Ars Technica har snakket med.

Ifølge virusforskere hos Kaspersky Labs ble de smittede brukerne infisert med en trojaner ved navn Tepfer; skriver nettstedet videre. Dette betyr at de aller færreste som ble utsatt for smitte ville ha lagt merke til det, ettersom ikke mer enn drøyt ti prosent av antivirusprogrammer var i stand til å oppdage denne trojaneren da angrepet startet.

Flyttet innholdet til nye servere

Det var Googles automatiske program for å blokkere sider med skadelig innhold som først oppdaget angrepet, tidlig torsdag morgen. Da ble besøkende som bruker Chrome eller Firefox møtt med en klar advarsel om at de burde holde seg unna, noe som bekreftes i en uttalelse fra PHP.net fra sent i går kveld.

PHP.net forteller videre at de først trodde Google hadde tatt feil, men likevel prøvde å finne feilen. Det viste seg at den skadelige kodesnutten ikke ble servert til alle besøkende, men at innholdet på serveren ble modifisert automatisk slik at den faktiske javascript-filen angriperne ville benytte ikke eksisterte når man jaktet på den.

Google hadde dog tilfeldigvis gjort et sveip i ett av de korte tidsrommene hvor den skadelige filen var tilgjengelig, og derfor satt ned foten. Da PHP.net sine egne sikkerhetsfolk fant den samme filen tok de også ned hele nettstedet, for å sikre at angrepet ble stanset.

Flytter servere og alle passord

For øyeblikket er det ikke kjent hvem som står bak angrepet, eller hvor mange som er rammet. PHP.net forteller imidlertid at kun en liten prosentandel av besøkende mellom tirsdag og torsdag denne uken har noe å uroe seg for, samt at ingen av filene som inneholder kildekode for PHP-prosjektene er berørt.

To servere tilhørende PHP.net sine domener er dessuten tatt ut av drift, og alle tjenester er nå flyttet over på nye, sikre servere. Som et ekstra sikkerhetstiltak vil også alle passord for registrerte brukere av PHP.net bli nullstilt i løpet av de neste par dagene.

Dette angrepet bekrefter noe vi har fortalt tidligere:
Helt vanlige nettsider er de aller farligste »

(Kilder: Hacker News, PHP.net, Ars Technica)

Les også
– Det største nettangrepet hittil
Les også
Helt vanlige nettsider er de farligste
Les også
Her viser han hvordan du får virus fra nettsurfing
Les også
Se video av hvordan de overvåker datavirusene
Les også
Her får de 200 000 datavirus hver dag
Les også
De 10 verste virusene opp gjennom historien
Les også
Apple innrømmer at de ble hacket via Java-hull
annonse

Les også