Ayer al acceder a PHP.net los usuarios vieron sorprendidos que Google lo tenía etiquetado como sospechoso de malware. La noticia corrió ampliamente por la web. La advertencia de seguridad era notable al intentar visitar el sitio web de PHP. El sitio web había sido comprometido.
La gente de PHP pensó que posiblemente se trataba de un falso positivo y se puso a investigar. En tanto, migraron contenidos a nuevos servidores, limpios y seguros, poniendo foco en la integridad del código fuente del popular lenguaje PHP ampliamente utilizado en la web.
Se encontró que el problema estaba en el archivo userprefs.js de Javascript, que había cambiado de tamaño en menos de 24 horas; un comportamiento sospechoso de malware. El archivo contenía un código ofuscado que inserta un iframe con un enlace al sitio lnkhere.reviewhdtv.co.uk/stat.htm, que se encuentra en la lista negra de Google y que parece ser redirige al kit de explotación Magnitude/Popads, de vulnerabilidades Java y Adobe Acrobat Reader.
El problema estuvo presente entre el 22 y el 24-Oct-2013. Ya ha sido corregido sustituyendo al archivo del problema por otro sin el código ofuscado y el sitio web php.net ya no se encuentra en lista negra de Google.
La gente de PHP ha checado la integridad de los archivos de distribución PHP y han reportado que no hay evidencia de que el código fuente del popular lenguaje PHP haya sido comprometido.
PHP ha informado que dos de los servidores operados por php.net fueron comprometidos: el servidor que alojaba a los dominios www.php.net, static.php.net y git.php. net; y el servidor que alojaba el dominio bugs.php.net. Se desconoce la forma de la intrusión, cómo los servidores fueron comprometidos.
PHP ya ha revocado el certificado SSL de php.net ante el riesgo de que los atacantes hayan accedido a la llave privada del certificado. También iniciará un procedimiento de reseteo de contraseñas para los usuarios de php.net, que entregan código para proyectos alojados en svn.php.net o git.php.net.