zurück zum Artikel

Wiki-Server der PHP-Entwickler gehackt

Bei einem Einbruch in den Wiki-Server der PHP-Entwickler wiki.php.net wurden nach Angaben [1] der Entwickler mehrere Kontodaten ausgespäht. Es sei zwar nach ersten Untersuchungen kein weiterer Server kompromittiert worden, jedoch habe man große Sorge, dass der Quellcode von PHP manipuliert wurde, da die Zugangsdaten auch für das PHP-Repository gelten.

Die Entwickler hätten deshalb ein ausführliches Code-Audit gemacht und jede Einbuchung (Commit) von Code in das Subversion-Repository seit Version 5.3.5 überprüft. Laut einer kurzen Stellungnahme auf www.php.net habe man jedoch keine Hinweise auf Manipulationen gefunden. Der Einbruch gelang den Unbekannten durch das Ausnutzen einer Lücke im CMS (DokuWiki). Anschließend bauten sie ihre Rechte über einen Root-Exploit für Linux aus.

Das betroffene System wurde gelöscht und alle Entwickler mit Zugriff auf das Repository müssen nun ihre Passwörter wechseln. Bereits am vergangenen Freitag war wiki.php.net nicht erreichbar und der französische Sicherheitsdienstleister Vupen streute [2] über Twitter Gerüchte, PHP enthalte möglicherweise eine Backdoor. In einem mittlerweile gelöschten Tweet verwies Vupen zudem auf die Seite eines chinesischen Hackers, der für sich in Anspruch nimmt, Code im PHP-Repository verändert zu haben. Statt jedoch eine Backdoor einzubauen, fügte [3] der Eindringling nur den Namen "Wolegequ Gelivable" zur Credits-Group in einer Datei hinzu.

Zwar ist der Einträg des Hackers auf seiner Seite auf den 18.3.2011 datiert, die aufgeführte Manipulation fand jedoch bereits im Dezember des vergangenen Jahres statt [4]. Dabei gelang es dem chinesischen Hacker, die Zugangsdaten des PHP-Entwicklers Hannes Magnusson zu stehlen und damit genau die nun dokumentierte Änderung durchzuführen.

Die unerwünschte Manipulation fiel damals jedoch in kürzester Zeit auf und wurde rückgängig gemacht, weil mehrere andere PHP-Entwickler Mails zu den Commits mitlasen. Ob die Manipulation auch bei subtileren Änderungen so schnell aufgefallen wäre, darf man zumindest in Frage stellen. Zudem proklamiert der Hacker für sich, damals Shell-Zugriff auf wiki.php.net gehabt zu haben. Offen ist nun, ob die beiden Vorfälle trotz der zeitlichen Lücke in irgendeiner Verbindung stehen – eine Antwort der PHP-Entwickler diesbezüglich steht noch aus.
(dab [5])


URL dieses Artikels:
http://www.heise.de/-1211781

Links in diesem Artikel:
[1] http://www.php.net/archive/2011.php#id2011-03-19-2
[2] https://twitter.com/VUPEN/status/48696644975337472
[3] http://svn.php.net/viewvc/php/php-src/trunk/ext/standard/credits.c?view=markup&pathrev=306409
[4] http://bjori.blogspot.com/2010/12/php-project-and-code-review.html
[5] mailto:dab@ct.de