PHP.net был взломан и использован для атаки на посетителей

28.10.2013 | 11:44 Экономика

Похоже, что посетители официального сайта языка программирования PHP в конце прошлой недели могли заразить свои компьютеры зловредным ПО.

Взломщикам удалось внедрить зловредный javascript-код в один из файлов сайта, называющийся userprefs.js. Код обращается к стороннему ресурсу, который сканирует браузеры посетителей на предмет уязвимых плагинов и атакует с помощью обнаруженных брешей, и если получается – устанавливает зловредное ПО, сообщает Дэиел Пек, эксперт по безопасности из Barracuda Networks.

C помощью одного из инструментов, применяемых Barracuda, удалось обнаружить и захватить атакующий трафик с php.net поздним вечером во вторник истекшей недели, как уточняет Пек.

Во время атаки эксплойт использовал заражённые swf-файлы, что вероятно, было связано с использованием уязвимостей Adobe Flash Player. Однако специалисты Barracuda Network ещё не завершили анализ и не выявили конкретные уязвимости, использовавшиеся злоумышленниками.

Также пока неясно, что именно делает программный код, инсталлируемый эксплойтом, и является ли он частью какого-либо известного типа зловредного ПО. Единственный факт, который Пек озвучил с полной уверенностью: зловредное ПО пытается подключиться к трём десяткам различных командно-управляющих серверов по всему миру и успешно устанавливает связь с четырьмя из них.

PHP.net был внесён в чёрный список Google Safe Browsing в четверг, а этот сервис используется Google Search, Google Chrome и Mozilla Firefox, чтобы предотвратить визит посетителя на заражённые ресурсы. В результате пользователи Firefox и Chrome в течение нескольких часов получали предупреждения о вредоносном ПО.

PHP Group, поддерживающая сайт и выкладывающая установочные дистрибутивы PHP, сначала посчитала эти предупреждения результатом ошибки Google Safe Browsing. Создатель PHP, Расмус Лердорф, написал в своём Twitter: «Похоже, что в Google — ложное срабатывание, и все страницы PHP.net помечены как подозрительные».

Но более внимательное исследование выявило, что файл userprefs.js был модифицирован несколько раз в результате взлома. «Мы всё ещё исследуем, каким образом был изменён файл, а пока переносим ресурс на «чистые» сервера», сообщила группа, добавляя, что нет никаких свидетельств заражения файлов установочных дистрибутивов PHP.

Barracuda Networks распространяет файл захвата трафика, включающего экплойты и вирусы, использовавшиеся во время атаки, так что любой желающий мог принять участие в анализе этих данных.

Непонятно, почему целью атаки был выбран именно PHP.net – по причине ли большого числа посетителей ресурса, или же потому, что большинство этих посетителей – разработчики. По даным аналитической компании Alexa, принадлежащей Amazon, PHP.net занимает 228 место в рейтинге наиболее посещаемых сайтов мира.

Разработчики PHP могут быть желанной целью для атакующих и потому, что их компьютеры обычно содержат ценную интеллектуальную собственность: коды-источники, а также учётные данные веб-сайтов, которые эти разработчики поддерживают. Взлом таких компьютеров может открыть атакующим лёгкий доступ в корпоративные сети.

Количество заражённых компьютеров, скорее всего, было невелико: заражённый код файла userprefs.js периодически замещается существующим процессом синхронизации, восстанавливающей исходное состояние файла.

«Едва ли можно сказать о последствиях атаки для конечного пользователя, посетившего сайт в этот период, потому что окно, в течение которого изменённый файл был в доступе, было действительно небольшим, и мы фокусировались на целостности PHP-кода, который мы распространяем», – сообщил Лердорф по электронной почте. «Но – да, если кто-то был перенаправлен в какое-то странное место при посещении PHP.net, ему следует принять обычные меры антивирусной защиты».