Aanvallers kraken accounts op PHP-wikiserver

De PHP wiki-website is slachtoffer geworden van een hackersaanval door een kwetsbaarheid in de wiki-software en een Linux-exploit. De ontwikkelaars stellen echter dat er niet is gerommeld met de broncode van de veelgebruikte scripttaal.

PHP logo (60 pix)De aanval op Php.net zou zijn uitgevoerd door een kwetsbaarheid in de wiki-software te misbruiken in combinatie met een Linux root-exploit. Volgens de beheerders van de website zijn er accounts van gebruikers van de Wiki-site buitgemaakt.

Uit een eerste analyse van de gevolgen van de aanval zou zijn gebleken dat de hackers geen veranderingen hebben aangebracht in de broncode van php 5.3.5 door via svn wijzigingen voor te stellen. Ook zouden de aanvallers geen andere servers van Php.net hebben weten te kraken.

Uit voorzorg dienen alle gebruikers van Php.net hun wachtwoord te veranderen. Daarnaast is de inhoud van de gekraakte server gewist.

Door Dimitri Reijerman

Redacteur

20-03-2011 • 12:37

16 Linkedin

Submitter: SeNsEi.Ze0n

Reacties (16)

Wijzig sortering
Uit een eerste analyse van de gevolgen van de aanval zou zijn gebleken dat de hackers geen veranderingen hebben aangebracht in de broncode van php 5.3.5 door via svn wijzigingen voor te stellen
Maar PHP 5.3.6 is toch al uit? Hebben ze daar wel mee kunnen rommelen?
Overigens wel goed dat ze erachter zijn gekomen. Volgens mij is de gebruikte methode redelijk ingewikkeld, dus ik denk niet dat je gelijk kan zien dat er wat gebeurt is.

Edit @Wolfos: Je hebt gelijk, daar had ik overheen gelezen. Maar wel mooi dat ze het tijdig ontdekt hebben, want het is lastig om een wijziging weer terug te draaien, lijkt me.

[Reactie gewijzigd door Chris7 op 20 maart 2011 12:54]

Dit is vrij oud nieuws, de kraak is al in december 2010 uitgevoerd.
Dat is een blogpost van iemand die wat ouwehoert over hoe leuk het wel niet is te werken aan software en vervolgens aangeeft dat z'n logingegevens bij iemand anders terecht gekomen waren.

Op geen enkele manier blijkt uit jouw linkje dat het met deze nieuwspost te maken heeft. Sterker nog, het lijkt me eerder dat het er geen zak mee maken hebben: de kans dat iemand je wachtwoord ergens anders vandaan heeft (dubieuze website waar je hetzelfde wachtwoord gebruikt, een foutje van een andere website, etc) is groter.
Dat linkje komt uit een bericht van een van de PHP developers, die zeer waarschijnlijk hier meer over weet dan wij, op de php.internals mailinglist (is de development mailinglist van PHP). Had ik er inderdaad wel bij kunnen zetten.

[Reactie gewijzigd door hostname op 20 maart 2011 13:31]

Volgens de post op PHP.net hebben ze alle commits sinds versie 5.3.5 gecontroleerd en is er niets gevonden.

[Reactie gewijzigd door Wolfos op 20 maart 2011 12:43]

Code-aanpassingen doen via een versiebeheersysteem is een potentieel probleem? Dat is toch binnen 2 tellen terug te draaien? Lijkt me het laatste waar je je druk om moet maken als je systeem gehacked is?
http://news.php.net/php.cvs/64155
Dit is de code aanpassing waar het blijkbaar om gaat, er is 2x iemand toegevoegd aan de credits lijst.
Wolegequ Gelivable
die aanpassing wijst wel heel erg in de richting van een chinese hacker ..
Geen idee waar de SVN server zelf staat, maar je kan ook direct in de repro rommelen zonder commits (het zijn immers gewoon bestanden).
Anoniem: 96523
21 maart 2011 11:00
Zowel in dit artikel als op de website van php.net zelf is het erg onduidelijk wat er nou aan de hand is, want wat heeft een wiki nou met broncode (in svn) te maken 8)7

Misschien is het handig om te vermelden dat de logingegevens van php.net gebruikers zijn gestolen die op de wiki waren aangemeld. Omdat een groep hiervan ook op de SVN kan/kon komen waren ze bang dat de "hackers" deze gegevens gebruikte om de PHP broncode te wijzigen op de SVN.

Moraal van het verhaal: gebruik voor elke website (inclusief subs) een ander wachtwoord :D
Volgens mij gebruiken ze bij php.net voor de wiki en SVN hetzelfde authenticatiesysteem en dan is het een beetje lastig om een ander wachtwoord te gebruiken :)
Stoer hoor, van die hackers.
Mooi dat er niks in de code zelf is veranderd. Zal wel rot zijn als er allemaal gekke gedaan zouden zijn in de source code.
Had toch niet uitgemaakt als er backdoors in gemaakt werden. PHP heeft geen bugs en beveiligingslekken, alleen maar features :P
en wanneer is de site weer on??
En wat was de "reden" van de hack?
Bedoel, ze moeten toch een punt hebben? Althans, het zou wel aardig zijn als ze er nog een doel voor hadden, buiten het klassieke "omdat het kan"

Op dit item kan niet meer gereageerd worden.

Kies score Let op: Beoordeel reacties objectief. De kwaliteit van de argumentatie is leidend voor de beoordeling van een reactie, niet of een mening overeenkomt met die van jou.

Een uitgebreider overzicht van de werking van het moderatiesysteem vind je in de Moderatie FAQ

Rapporteer misbruik van moderaties in Frontpagemoderatie.




Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee