De aanvallers die kwaadaardige code op PHP.net wisten te plaatsen, de website van de gelijknamige populaire programmeertaal, hebben twee servers op een nog onbekende wijze gehackt. Gisteren blokkeerde de Google Safe Browsing API in Chrome en Firefox de website vanwege malware.

Uit onderzoek van de PHP-ontwikkelaars blijkt dat de JavaScript-malware die Google detecteerde van 22 oktober tot en met 24 oktober op de website actief was en aan een klein percentage van de bezoekers werd voorgeschoteld. Vanwege de infectie besloot het PHP-systeemteam elke server van PHP.net te auditen.

Servers

Twee servers bleken er gecompromitteerd te zijn, namelijk de server die de www.php.net, static.php.net en git.php.net domeinen host en de server die bugs.php.net host. Het is op dit moment nog onbekend hoe de aanvallers toegang tot de servers wisten te krijgen. Alle getroffen diensten die op de gehackte servers draaiden zijn naar een andere server gemigreerd. Daarnaast is gecontroleerd of de broncode of de Git repository zijn aangepast of gecompromitteerd. Dit bleek niet het geval te zijn.

Aangezien er niet kon worden uitgesloten dat de aanvallers toegang tot de privésleutel van het php.net SSL-certificaat hebben verkregen, is het certificaat ingetrokken en wordt er een nieuw SSL-certificaat geregeld voor de gedeeltes van de website die over een versleutelde verbinding lopen, zoals bugs.php.net en wiki.php.net.

Verder zullen de wachtwoorden van gebruikers van PHP.net worden gereset. Het gaat hierbij alleen om gebruikers die code aan projecten op svn.php.net of git.php.net toevoegen. De ontwikkelaars laten daarnaast weten dat er volgende week een uitgebreide beschrijving van de inbraak zal verschijnen.