Сервер PHP.net взломан. Подтверждён факт взлома инфраструктуры PHP.
После проведения детального анализа причин вчерашнего попадания сайта php.net в чёрные списки Google, представители проекта PHP подтвердили информацию о взломе сервера и сайта php.net, а также получения хакерами контроля над некоторыми серверами в инфраструктуре проекта. В частности, следы взлома обнаружены на двух серверах, обеспечивающих работу сайтов www.php.net, static.php.net, git.php.net и bugs.php.net. В данный момент указанные серверы выведены из работы, а работающие на них сервисы перенесены на новые серверы, настроенные с оглядкой на повышенную безопасность. Способ, использованный хакерами для получения доступа к серверам, пока не ясен.
JavaScript-код, поражающий системы пользователей, отображался выборочно для достаточно небольшой части посетителей c 22 по 24 октября. При первичном анализе содержимое JavaScript-файла userprefs.js не вызвало подозрений, но при изучении логов было выявлено, что периодически для данного файла в логе фигурировал некорректный размер, через несколько минут размер возвращался к нормальному виду. Дальнейшее изучение показало, что файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron. Удалось установить, что размещенный JavaScript связывался почти с десятков C&C серверов, подгружая с них данные об уязвимостях и эксплоиты, причем на четырех серверах выявлена особенно высокая активность.
Окно показа вредоносного варианта userprefs.js было достаточно небольшим и проекту явно повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки, иначе проблема могла быть ещё долго не обнаружена.
Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев — сверка контрольных сумм и содержимого активных репозиториев с доступной только на чтение резервной копией не выявила подозрительных модификаций. Не исключено, что хакеры получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов.