PHP: Hypertext Preprocessor

PHPグループは10月24日(米国時間)、php.netのサーバがマルウェアに感染していることを伝えた。同日Googleからphp.netのホストでマルウェアが動作しているという報告を受けて調査を開始。2台のサーバがJavaScriptベースのマルウェアに感染していることが確認されたという。感染経路は不明とされており、すでに対処が実施されている。

10月24日(米国時間)現在で明らかになっている事項は次のとおり。

  • 10月22日から24日にかけて、php.netユーザのごく少ない割合に対してだがJavaScriptマルウェアが動作していた
  • PHPのソースコードやGitリポジトリが変更された痕跡は確認されていない
  • php.netサーバのうち2台でマルウェアの感染が確認されており、これらサーバはサービスを停止するとともに、すべてに別のサーバへサービスの移行を実施
  • 侵入者はSSL証明書の秘密鍵にアクセスできた可能性があるとし、同証明書を破棄するとともにphp.netへのSSL経由でのアクセスをしばらく停止。新しくSSL証明書が発行されてからサービスを再開する

svn.php.netおよびgit.php.netでホスティングされているプロジェクトへのコミットを実施していたユーザへ対してはパスワードのリセットを実施する旨も説明がある。