Aki nem homokba dugott fejjel vészelte át az elmúlt néhány napot, az biztosan értesült róla, hogy a Google feketelistázta a PHP.net-et, a figyelmeztetésről pedig hamar kiderült, hogy nem hamis pozitív: jelenleg annyit lehet tudni, hogy a támadók komprommitálták a www.php.net, static.php.net és git.php.net kiszolgálókat, valamint a projekt bugtrackerét, de az üzemeltetők egyelőre nem tudták megmondani, hogy milyen módon kerülhetett sor minderre. 

Tekintettel arra, hogy a támadók hozzáférhettek a PHP Git tárolójához illetve a weboldalról letölthető kiadásokhoz is, a károk viszonyleg mérsékeltek: úgy tűnik a szoftverbe nem telepítettek hátsó kaput (bár az MD5 hash-ek ellenőrzése 2013-ben nem éppen bombabiztos megoldás [thx Áron]), "csak" malware-t hosztoltak a webkiszolgálón, illetve hozzáférhettek a php.net privát SSL kulcsához, így a tanúsítványt vissza kellett vonni. 

A malware-el kapcsolatban bitvadászoknak érdemes elkérniük a Barracuda által rögzített PCAP-t, a többieknek a releváns infó annyi, hogy néhány rosszindulatú JavaScript először megnézte, hogy a látogató futtat-e valamilyen sérülékeny böngésző plugint (Java, Adobe Reader, Flash, VLC, Silverlight), majd a megfelelő exploit segítségével teleszórta az áldozat gépét bankos trójaiakkal meg ransomware-el. Ha a célpont nem volt sérülékeny, a szkript a következő YouTube videót tartalmazó oldalt töltötte be:

(Egy másik jóféle elemzés az AlienVaultnál olvasható.)

A jelek szerint tehát egy "sima" malware kampánnyal van dolgunk, de nem jó belegondolni, hogy egy célzottabb támadó mekkora károkat lett volna képes okozni, ha nem teszi meg azt a szívességet, hogy beletolja a Zeust a Google robotok arcába. 

A kárfelmérés, és az infrastruktúra helyreállítása még tart, de amíg nem derül fény arra, hogy hogyan is sikerült a támadóknak átvennie az irányítást a PHP.net kiszolgálói felett, a magam részéről fenntartásokkal kezelem a domaint.