Php.net sotto lo scacco del malware

La prima ipotesi era un falso positivo: ma il dominio era effettivamente vittima di una iniezione di codice con in dote un trojan. Ci sono volute diverse ore per chiarire la situazione, che ora si avvia verso la normalitÓ

Roma - Sviluppatori in rivolta, Google sotto accusa e il sito Php.net sotto scacco. Martedì il sito è stato oggetto di un attacco che solo due giorni dopo ha fatto scattare l'allarme del servizio Safe Browsing di Big G il quale, segnalando la presenza di un malware, rendeva di fatto impossibile l'accesso sia tramite Chrome, sia via Mozilla e Safari. Ieri la situazione si è risolta e il sito è tornato regolarmente visitabile, anche se non sono mancati scambi di accuse tra le parti.

Rasmus Lerdorf, creatore del linguaggio di programmazione open source, aveva ipotizzato che Google avesse compiuto un errore di rilevazione, mentre in realtà gli hacker avevano già sferrato l'attacco servendosi di un codice JavaScript infetto che installava malware nei computer dei visitatori. Così mentre Lerdorf tweettava come Google fosse incappata in un "falso positivo", diversi utenti erano finiti nella morsa del virus.

Se è ancora impossibile al momento capire in quale modo i malintenzionati siano riusciti ad arrivare ai server di PHP.net attraverso la chiave privata del certificato SSL, grazie a un ricercatore dei Kaspersky Labs si è scoperto che il codice JavaScript infetto è stato copiato nel file userpref.js. Da qui, al momento dell'accesso, il codice scaricava il malware Tepfer, rilevato soltanto da cinque dei quarantasette programmi antivirus e dall'analisi dei file sembra che il malware abbia sfruttato una vulnerabilità di Adobe Flash.

Nella nota rilasciata dal team di PHP.net si chiarisce che i server compromessi sono stati due (quelli che ospitavano i domini www.php.net, git.php.net, static.php.net e bugs.php.net), mentre riguardo agli utenti colpiti si parla di "una piccola percentuale". Tutti i servizi sono stati girati verso nuovi server e l'accesso verrà attuato senza SSL fino all'installazione del nuovo certificato, mentre nei prossimi giorni saranno resettate le password degli utenti colpiti dall'attacco.
Alessio Caprodossi
41 Commenti alla Notizia Php.net sotto lo scacco del malware
Ordina
  • E ha pure il coraggio di farsi vedere/sentire dopo aver creato quell'abominio del PHP? (E di fare anche altre figure di palta)
    non+autenticato
  • Scusami ti correggo: semmai sono i programmatroti che non sanno programmare!
  • - Scritto da: fox82i
    > Scusami ti correggo: semmai sono i programmatroti
    > che non sanno
    > programmare!
    Esatto, e Rasmus Lerdorf ne è la dimostrazione
    non+autenticato
  • - Scritto da: giggi er trojone
    > E ha pure il coraggio di farsi vedere/sentire
    > dopo aver creato quell'abominio del PHP? (E di
    > fare anche altre figure di
    > palta)

    Infatti! Meno male che si sei tu che hai creato...
    Ubunto
    1350
  • - Scritto da: Ubunto
    > Infatti! Meno male che si sei tu che hai creato...
    Se qualcuno ti dicesse "e tu che hai fatto in politica più di Berlusconi?" cosa risponderesti?
    Esatto, la stessa carriolata di sterco è la risposta al tuo commento
    non+autenticato
  • - Scritto da: giggi er trojone
    > - Scritto da: Ubunto
    > > Infatti! Meno male che si sei tu che hai
    > creato...
    > Se qualcuno ti dicesse "e tu che hai fatto in
    > politica più di Berlusconi?" cosa
    > risponderesti?
    > Esatto, la stessa carriolata di sterco è la
    > risposta al tuo
    > commento

    Creare un linuaggio di programmazione non è fare politica.
    Lui ha creato un linguaggio per il web che, nel suo settore, è forse il più diffuso al mondo. Oltre alle centinaia di migliaia di forum, blog, portali di piccole e medie dimensioni, PHP sta alla base di Wikipedia, è utilizzato in Facebook e in alcune parti anche da Yahoo. Anche diversi quotidiani on-line usano PHP. il Sito della White House usa PHP.

    E dovrebbe avere "pure il coraggio di farsi vedere/sentire" per aver creato PHP?
    E chi è che dovrebbe farsi invece vedere?
    Chi sviluppa linguaggi il cui supporto viene "bannato" pure dai browser, quelli che li implementano su piattaforme-colabrodo only, quelli che per "moda" raggiungono il 0.8% di diffusione (ma sono bellissimi, eh?) e poi scompaiono nel nulla, o ancora quelli che vogliono reinventare la ruota (c/c++) quando la ruota già funziona benissimo da sola e nemmeno arrivano allo 0.8% dei pre-citati?
    Ubunto
    1350
  • - Scritto da: Ubunto
    > Creare un linuaggio di programmazione non è fare
    > politica.
    Ha dimostrato che si possono fare grandi porcate pur creando un linguaggio di programmazione

    > Lui ha creato un linguaggio per il web che, nel
    > suo settore, è forse il più diffuso al mondo.
    > Oltre alle centinaia di migliaia di forum, blog,
    > portali di piccole e medie dimensioni, PHP sta
    > alla base di Wikipedia, è utilizzato in Facebook
    > e in alcune parti anche da Yahoo. Anche diversi
    > quotidiani on-line usano PHP. il Sito della White
    > House usa
    > PHP.
    Quindi? Cosa dovrebbe dimostrare?

    > E dovrebbe avere "pure il coraggio di farsi
    > vedere/sentire" per aver creato PHP?
    No

    > Chi sviluppa linguaggi
    logici e coerenti
    non+autenticato
  • - Scritto da: giggi er trojone

    > > Chi sviluppa linguaggi
    > logici e coerenti

    Tipo? Fai attenzione con la risposta se non vuoi essere preso a sputi.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: giggi er trojone
    >
    > > > Chi sviluppa linguaggi
    > > logici e coerenti
    >
    > Tipo? Fai attenzione con la risposta se non vuoi
    > essere preso a sputi.

    AMOS !!!!
    http://it.wikipedia.org/wiki/AMOS_BASIC
    Fan Amiga
    krane
    22544
  • - Scritto da: ...
    > Tipo? Fai attenzione con la risposta se non vuoi
    > essere preso a
    > sputi.
    http://me.veekun.com/blog/2012/04/09/php-a-fractal.../
    http://www.codinghorror.com/blog/2012/06/the-php-s...

    SLAAAAAAAAAAP!
    non+autenticato
  • - Scritto da: giggi er trojone
    > - Scritto da: ...
    > > Tipo? Fai attenzione con la risposta se non
    > vuoi
    > > essere preso a
    > > sputi.
    > http://me.veekun.com/blog/2012/04/09/php-a-fractal
    > http://www.codinghorror.com/blog/2012/06/the-php-s
    Linguaggi che non hanno le sopra citate caratteristiche

    > SLAAAAAAAAAAP!
    non+autenticato
  • Ma php.net iniettava virus nei soli visitatori con Windows?

    Storie di ordinario masochismo, nell'ostinarsi ad usare quella porcheria di sistema operativo.

    Ma anche chi fa il programmatore PHP, che usa Windows non si può vedere...
    iRoby
    6911
  • - Scritto da: iRoby

    > Storie di ordinario masochismo, nell'ostinarsi ad
    > usare quella porcheria di sistema
    > operativo.
    >
    > Ma anche chi fa il programmatore PHP, che usa
    > Windows non si può
    > vedere...


    Anche certi saccenti non si possono vedere!
  • - Scritto da: iRoby
    > Ma php.net iniettava virus nei soli visitatori
    > con
    > Windows?
    >
    > Storie di ordinario masochismo, nell'ostinarsi ad
    > usare quella porcheria di sistema
    > operativo.
    >
    > Ma anche chi fa il programmatore PHP, che usa
    > Windows non si può
    > vedere...

    E server bucati linus/freebsd, apache e tutto il resto open, come sempre..
    la fiera degli ingenui
    non+autenticato
  • Ma che hai detto? Hai un traduttore?
    non+autenticato
  • - Scritto da: Panda Rosa
    > Ma che hai detto? Hai un traduttore?


    in effetti ho scritto da c.
    non+autenticato
  • Una falla nel codice di un sito non è una falla del web server o del sistema operativo...
    iRoby
    6911
  • - Scritto da: iRoby
    > Una falla nel codice di un sito non è una falla
    > del web server o del sistema
    > operativo...

    Un po' come una falla in flash che permette di installare un malware.
    non+autenticato
  • quindi immagino che il codice sul sito si sia scritto da solo
    non+autenticato
  • - Scritto da: iRoby
    > Una falla nel codice di un sito non è una falla
    > del web server o del sistema
    > operativo...

    ma che ne sai tu? sei sicuro di come hanno fatto ad entrare? flash in un server apache/freebsd?
    Poi mi dovresti spiegare con che diritti giravano i demoni, o se c'è stata scalata dei privilegi... lascia stare, se vai ad approfondire ci potresti rimanere male.
    L'importante è che ci credi
    non+autenticato
  • Nell'articolo manca una informazione importante.

    Questo malware iniettato nel sito php interessa solo piastrellotto, oppure, come suppongo, anche tutte le versioni precedenti fino a '95 ?
  • - Scritto da: panda rossa
    > Nell'articolo manca una informazione importante.
    >
    > Questo malware iniettato nel sito php interessa
    > solo piastrellotto, oppure, come suppongo, anche
    > tutte le versioni precedenti fino a '95?

    Ma cosa vuoi che gliene freghi agli autori di malware di infettare un sistema operativo usato giusto da qualche dozzina di sfigati?

    Il piastrellotto quindi probabilmente è salvo.
    non+autenticato
  • - Scritto da: ...

    >
    > Il piastrellotto quindi probabilmente è salvo.

    l'unica buona caratteristica di windows è la retrocompatibilità, e purtroppo questo significa che i malware hanno vita facile e grandi possibilità d'infiltrarsi in vecchie e nuove versioni del sistema

    che poi alla fin fine, piastrellotto è un windows 7 con gui peggiorata
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ...
    >
    > >
    > > Il piastrellotto quindi probabilmente è
    > salvo.
    >
    > l'unica buona caratteristica di windows è la
    > retrocompatibilità, e purtroppo questo significa
    > che i malware hanno vita facile e grandi
    > possibilità d'infiltrarsi in vecchie e nuove
    > versioni del
    > sistema
    >
    > che poi alla fin fine, piastrellotto è un windows
    > 7 con gui
    > peggiorata

    Sì beh la mia era una battuta A bocca aperta
    non+autenticato
  • - Scritto da: collione
    > - Scritto da: ...
    >
    > >
    > > Il piastrellotto quindi probabilmente è
    > salvo.
    >
    > l'unica buona caratteristica di windows è la
    > retrocompatibilità, e purtroppo questo significa
    > che i malware hanno vita facile e grandi
    > possibilità d'infiltrarsi in vecchie e nuove
    > versioni del
    > sistema
    >
    > che poi alla fin fine, piastrellotto è un windows
    > 7 con gui
    > peggiorata

    che, come spesso riporto, è un esorcismo di sVista, che è un xp con più fuffa colorata e uac portato alla paranoia, che è un 2000 con più fuffa colorata e gdi tornate in ring 3, che è un nt4 con più fuffa colorata e gdi in ring 0 (rabbrividiamo!), che è un nt3.51

    matrioska style "à la redmonnezz"
  • è quello che succede quando il business s'impone sulla tecnicaOcchiolino

    windows andrebbe spazzato via a favore di midori/singularity, ma credo che non avverrà mai

    purtroppo, quello di aggiungere layer su layer di astrazioni, workaround e schifezze varie, è diventato uno sport molto diffuso nell'industria del software

    nemmeno l'opensource ne è immune

    infatti abbiamo, da un lato, la bloated multiversioned glibc e, dall'altro, le snelle musl, dietlibc, uclibc, ecc...

    e così scopriamo che, programmando bene, si può creare un sistema linux contenuto in un solo file e comprendente kernel+libc+busybox+server grafico!!!! il tutto in poco più di 1 MB!
    non+autenticato
  • - Scritto da: collione
    > windows andrebbe spazzato via a favore di
    > midori/singularity, ma credo che non avverrà
    > mai
    E meno male

    > e così scopriamo che, programmando bene, si può
    > creare un sistema linux contenuto in un solo file
    > e comprendente kernel+libc+busybox+server
    > grafico!!!! il tutto in poco più di 1
    > MB!
    Che poi è utile quanto una bici senza ruote
    non+autenticato
  • - Scritto da: P.Inquino
    > che, come spesso riporto, è un esorcismo di
    > sVista, che è un xp con più fuffa colorata e uac
    > portato alla paranoia, che è un 2000 con più
    > fuffa colorata e gdi tornate in ring 3, che è un
    > nt4 con più fuffa colorata e gdi in ring 0
    > (rabbrividiamo!), che è un
    > nt3.51
    >
    > matrioska style "à la redmonnezz"
    A' pinquì, cambia spacciatore
    non+autenticato
  • - Scritto da: panda rossa
    > Nell'articolo manca una informazione importante.
    >
    > Questo malware iniettato nel sito php interessa
    > solo piastrellotto, oppure, come suppongo, anche
    > tutte le versioni precedenti fino a '95
    > ?


    Non c'è scritto neppure che server hanno bucato, sicuramente IIS su windows.

    Vediamo:

    http://toolbar.netcraft.com/site_report?url=http:/...

    http://toolbar.netcraft.com/site_report?url=www.ph...

    http://toolbar.netcraft.com/site_report?url=static...

    http://toolbar.netcraft.com/site_report?url=bugs.p...


    Stai sicuro con il tuo open, ed il dito che indica la luna perchè in questi casi lo hai invece da qualche altra parte?
    sveglia
    non+autenticato
  • ricorda che è stato bucato un server LAMP (tra l'altro quello ufficiale dellaPirata prima che i client windows
    non+autenticato
  • dohhh! il pirata è una P maiuscola con una parentesi vicino
    non+autenticato
  • insomma, "Google Win!"Sorride nel senso che il Googles stop-badware system e' stato piu rapido e occhiuto nel rilevare come badware il .js infilato su php.net , di quanto lo siano stati gli umani.

    Anzi.. pensavano tutti a un 'falso positivo' (e alcuni sbraitavano)... a loro discolpa c'e' da dire che c'era un crob job che cambiava il file... fekoCon la lingua fuori

    Alla fine e' la solita meVda ( iframe + js hostato su sito remoto + malware drive-by-download x flash e java), pero' e' da vedere COME l'hanno infilato li'.
  • Un sito con milioni di visitatori al giorno non dovrebbe fare certe capzate, specialmente un sito fatto da tecnici per tecnici.
    non+autenticato
  • Menomale c'è il genio di turno, che sà tutto di protezioni
    non+autenticato
  • E vedrete quando riusciranno a bucare Akamai iniettando codice qui e la a intermittenza su versioni nazionalizzate di grossi siti senza che quindi gli amministratori dei siti originali possano nemmeno accorgersene.

    Oppure era qualcosa che la NSA gia faceva?
    non+autenticato
  • Akamai è troppo grande per non essere già stato notato

    e Amazon? crediamo davvero che il cloud più del mondo non sia NSA-included?
    non+autenticato
  • Gia, ma siccome la sicurezza totale non esiste, specie in questo periodo, hai detto una cazzata. Non facciamo sempre i saputelli italioti
  • infatti, bucano google, amazon e sony e secondo te si fanno problemi per php.net?
    malware = soldi ergo non ci sono più ragazzini che giocano in cantina ma aziende piene di professionisti e risorse che creano virus, bucano macchine e distribuiscono malware vario...
    non+autenticato
  • - Scritto da: CrazyVerse
    > infatti, bucano google, amazon e sony

    Non hanno mai bucato nè Google nè Amazon iniettando malware.
    non+autenticato