Php.net sotto lo scacco del malware

La prima ipotesi era un falso positivo: ma il dominio era effettivamente vittima di una iniezione di codice con in dote un trojan. Ci sono volute diverse ore per chiarire la situazione, che ora si avvia verso la normalità
La prima ipotesi era un falso positivo: ma il dominio era effettivamente vittima di una iniezione di codice con in dote un trojan. Ci sono volute diverse ore per chiarire la situazione, che ora si avvia verso la normalità

Sviluppatori in rivolta, Google sotto accusa e il sito Php.net sotto scacco. Martedì il sito è stato oggetto di un attacco che solo due giorni dopo ha fatto scattare l’allarme del servizio Safe Browsing di Big G il quale, segnalando la presenza di un malware, rendeva di fatto impossibile l’accesso sia tramite Chrome, sia via Mozilla e Safari. Ieri la situazione si è risolta e il sito è tornato regolarmente visitabile, anche se non sono mancati scambi di accuse tra le parti.

Rasmus Lerdorf, creatore del linguaggio di programmazione open source, aveva ipotizzato che Google avesse compiuto un errore di rilevazione, mentre in realtà gli hacker avevano già sferrato l’attacco servendosi di un codice JavaScript infetto che installava malware nei computer dei visitatori. Così mentre Lerdorf tweettava come Google fosse incappata in un “falso positivo”, diversi utenti erano finiti nella morsa del virus.

Se è ancora impossibile al momento capire in quale modo i malintenzionati siano riusciti ad arrivare ai server di PHP.net attraverso la chiave privata del certificato SSL, grazie a un ricercatore dei Kaspersky Labs si è scoperto che il codice JavaScript infetto è stato copiato nel file userpref.js . Da qui, al momento dell’accesso, il codice scaricava il malware Tepfer, rilevato soltanto da cinque dei quarantasette programmi antivirus e dall’analisi dei file sembra che il malware abbia sfruttato una vulnerabilità di Adobe Flash.

Nella nota rilasciata dal team di PHP.net si chiarisce che i server compromessi sono stati due (quelli che ospitavano i domini www.php.net, git.php.net, static.php.net e bugs.php.net), mentre riguardo agli utenti colpiti si parla di “una piccola percentuale”. Tutti i servizi sono stati girati verso nuovi server e l’accesso verrà attuato senza SSL fino all’installazione del nuovo certificato, mentre nei prossimi giorni saranno resettate le password degli utenti colpiti dall’attacco.

Alessio Caprodossi

Link copiato negli appunti

Ti potrebbe interessare

Link copiato negli appunti