24 октября Google и Mozilla занесли официальный сайт языка программирования PHP в «чёрный список» сайтов. В качестве причины блокирования упоминается наличие на четырёх страницах сайта троянских вставок, используемых для установки вредоносного ПО на системы пользователей.
JavaScript-код, поражающий системы пользователей, отображался выборочно, для достаточно небольшой части посетителей c 22 по 24 октября. При первичном анализе содержимое проблемного JavaScript-файла userprefs.js не вызвало подозрений, но при изучении логов было выявлено, что периодически для данного файла в логе фигурировал некорректный размер, через несколько минут размер возвращался к нормальному виду. Дальнейшее изучение показало, что файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron. Окно показа вредоносного варианта userprefs.js было достаточно небольшим и проекту явно повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки, иначе проблема могла быть ещё долго не обнаружена.
Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев - сверка контрольных сумм и содержимого активных репозиториев с доступной только на чтение резервной копией не выявила подозрительных модификаций. Тем не менее, не исключено, что зломышленники получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов. В течение нескольких дней планируется организовать смену всех паролей для пользователей сервисов svn.php.net и git.php.net.
Отдельно стоит упомянуть, что на момент обнаружения взлома на сайте php.net использовалась версия PHP 5.5.4 вместо последней на тот момент версии PHP 5.5.5
Перемещено Shaman007 из security
