Wie bekannt wurde, haben Unbekannte über die offizielle PHP – Website Php.net Malware an User verbreitet. Entdeckt wurde der unbefugte Zugriff durch Googles Safe-Browsing-Technik, die Php.net als malwareverseucht eingestuft hat, so dass unter anderem Googles Browser Chrome vor dem Besuch der Seite warnte.
Die Websitebetreiber hielten dies schlicht für einen Fehler seitens Google, mussten aber feststellen, dass es sich nicht um einen Fehler von Google, sondern um einen erfolgreichen Angriff auf Php.net handelt. Nach aktuellem Stand wurde zwischen dem 22. und dem 24. Oktober 2013 über eine Javascript-Datei Malware ausgeliefert. Laut Barracuda Networks handelte es sich dabei um SWF-Dateien, so dass offenbar Sicherheitslücken in Adobe Flash ausgenutzt wurden. Wie es den Angreifern gelang, die Datei immer wieder zu modifizieren konnte das Team von PHP bisher nicht ermitteln. Nach einer Überprüfung des Code-Repositorys, das zudem bei Github gespiegelt ist, gehen die PHP-Entwickler aber davon aus, dass der Code von PHP selbst nicht verändert wurde. Vorerst aber wurde Git-Repository in einen Read-Only-Modus versetzt. Zudem wurden alle betroffenen Server auf neuen Maschinen neu aufgesetzt. Da nicht ausgeschlossen werden kann, dass die Angreifer auch Zugriff auf den privaten SSL-Schlüssel für Php.net erlangen konnten, hat das PHP-Team alle seine SSL-Zertifikate zurückgezogen (revoked) und begonnen, neue Zertifikate aufzusetzen. Der Zugriff auf die Teile von Php.net, die SSL voraussetzen, soll in Kürze vollständig wiederhergestellt sein.
