• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Vulnerabilidades / Comprometen el sitio oficial de PHP para alojar malware

Comprometen el sitio oficial de PHP para alojar malware

25 octubre, 2013 Por Hispasec 1 comentario

El sitio web oficial del lenguaje de programación PHP ha sido comprometido y usado para infectar con malware a los visitantes.
Aunque en un primer momento, incluso el propio Rasmus Lerdorf (@rasmus), creador de PHP, pensó que se trataba de un falso positivo, el primer aviso lo dio el motor de bloqueo de Google Chrome, Safe Browsing. En el se podía leer que el motivo del bloqueo era la detección de malware alojado en el sitio web principal de PHP. Exactamente el script
  http://static.php.net/www.php.net/userprefs.js
Dicho script contenía código ofuscado que generaba un iframe oculto el cual cargaba otro script adicional, de un tercer dominio, para finalmente acabar siendo víctima del exploit kit Magnitude. Un esquema habitual usado por los atacantes para atraer gran cantidad de objetivos (un sitio popular) y alargar en lo posible la infección (código ofuscado, iframe oculto y múltiples dominios maliciosos). Existe un excelente análisis del proceso de infección realizado por Jaime Blasco de Alienvault.
Tras descartar el falso positivo y eliminar el malware del sitio oficial, los administradores de php.net han publicado una nota de prensa admitiendo la intrusión y el alojamiento de malware por parte de los atacantes.

Aunque todavía se encuentran trabajando en la investigación para llegar a conclusiones, los administradores han situado la ventana de exposición entre el día 22 y 24 de octubre. Durante esos días haber visitado los sitios web de php.netque incluyesen un enlace al script userpref.js significa que se ha estado expuesto a la infección.

En principio han sido comprometidos dos servidores. El principal alojaba los sitios www.php.net, static.php.nety git.php.net. Este último dominio es el que lleva al repositorio de código de todo el proyecto PHP, no solo la vista web del repositorio, sino el servidor GIT (puerto tcp/9418). Aunque según informan han comprobado que el repositorio de código no se ha «tocado» como precaución se ha bloqueado en modo lectura y migrado a otro servidor. El otro servidor se correspondería con el dominio bugs.php.net y aloja el sitio web de reporte de errores.
Como medida de precaución los certificados han sido revocados, ya que podrían haber sido extraídos por los atacantes. Es decir, llegaron a tener los privilegios necesarios para leer dichos archivos. De momento los servicios SSL no van a funcionar hasta que sean emitidos nuevos certificados. Un ejemplo perfecto para justificar el mecanismo de revocación de certificados.
Declaran que solo un pequeño porcentaje de usuarios del sitio ha sido expuesto a la infección. Esto es algo que cuesta entender sin una argumentación clara, sobre todo teniendo en cuenta que se ha usado un kit de explotación y no un solo exploit. Los kit de explotación son verdaderos cócteles de exploits con capacidad de detección de complementos del navegador vulnerables y soporte multiplataforma.
Adicionalmente las cuentas de los desarrolladores van a ser reiniciadas como medida de precaución.
Estaremos atentos para cuando publiquen, como han anunciado, un post-morten de la investigación que están llevando a cabo. Va a ser interesante ver hasta donde y como han llegado a colgar un script de infección en la web de uno de los lenguajes más usados para construir sitios y aplicaciones web. Según el ranking de Alexa, www.php.net es uno de los 250 sitios más visitados de Internet.
Más información:
PHP.net
http://www.php.net
Twitter. Rasmus Lerdorf
https://twitter.com/rasmus/status/393258147025932288
PHP.net potentially compromised and redirecting to an exploit kit
http://www.alienvault.com/open-threat-exchange/blog/phpnet-potentially-compromised-and-redirecting-to-an-exploit-kit
A further update on php.net
http://php.net/archive/2013.php#id2013-10-24-2
Alexa. Php.net
http://www.alexa.com/siteinfo/www.php.net
David García
dgarcia@hispasec.com

Twitter: @dgn1729

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: Vulnerabilidades Etiquetado como: PHP

Interacciones con los lectores

Comentarios

  1. Anónimo dice

    2 noviembre, 2013 a las 1:50 am

    Preocupante que esto pase en un sitio web tan importante. Definitivamente estamos en la calle.

    Responder

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR