I responsabili del linguaggio di programmazione PHP hanno passato gli ultimi giorni a pulire il loro codice sorgente da eventuali modifiche dopo aver scoperto che la sicurezza di uno dei loro server era stata violata.

La violazione di wiki.php.net ha permesso a qualcuno di rubare le credenziali di account che potrebbero essere stati utilizzati per accedere al repository di PHP. I tecnici continuano ad indagare sui dettagli dell’attacco, che sfruttava una vulnerabilità nel software Wiki e una falla di sicurezza in Linux. Il sito è stato off line da venerdì.

“La nostra più grande preoccupazione è, naturalmente, l’integrità del nostro codice sorgente”, hanno scritto i responsabili. “Abbiamo fatto un’indagine approfondita del codice e analizzato on realease dal 5.3.5 per assicurarci che nessun account rubato sia stato usato per iniettare qualcosa di dannoso. Nulla è stato trovato. ”

La versione corrente di PHP, che è stato rilasciato la scorsa settimana, è 5.3.6.

Tutti i dati sul server compromesso sono stati cancellati e il responsabile sta eseguendo le modifiche di password per tutti gli account con accesso al repository del codice.

L’advisory non ha scritto i dettagli chiave dell’attacco, compreso il tempo della durata, così come le credenziali degli account rubati.

Notizie sull’attacco sono iniziate a circolare  Venerdì sul forum  monitorato da ricercatori provenienti dalla Francia di VUPEN Security. Sulla base delle discussioni che vi si svolgevano, l’attacco di wiki.php.net sembra avere origine da “hacker cinesi che sfruttavano una vulnerabilità nel codcie per porre domande in Wiki (DokuWiki) installato sul server,” Il Ceo di VUPEN Bekrar Chaouki ha scritto: “L’attacker ha quindi utilizzato un exploit per prendere il controllo completo del sistema.”

Venerdì era il giorno stesso in cui un post sul blog scritto a dicembre era riemerso e ha sollevato nuove preoccupazioni circa l’integrità del codice sorgente disponibile dal repository di PHP. Lo sviluppatore Hannes Magnusson ha detto che qualcuno è stato in grado di effettuare modifiche non autorizzate al codice.

Le modifiche sono state limitate all’inserimento del nome “Wolegequ Gelivable” all’elenco di credito di un determinato pezzo di codice, piuttosto che vere modifiche dannose. E il codice non autorizzato è stato trovato in 10 minuti. Tuttavia, l’incidente ha dato molta preoccupazione.

“L’intrusione non ha fatto particolari danni, ma mi chiedo quali erano le intenzioni”, ha scritto Magnusson. “Forse solo un controllo delle credenziali, non rilevato avrebbe poi dato il via a nuove compromissioni molto più rilevanti? Il governo cinese cerca di introdurre falle di sicurezza in modo che possano entrare nel web PHP? ”

PHP è un linguaggio estremamente popolare che consente agli sviluppatori di creare pagine web con contenuti generati dinamicamente. Nel 2007 ha fornito codice per 20 milioni di domini, stando alle cifre di Netcraft. Siti web tra cui Facebook, Yahoo, Wikipedia e WordPress.

Questi attacchi non sono i primi a colpire il popolare software open-source. Nel mese di dicembre, la Free Software Foundation è stata colpita da attacco che ha compromesso alcune delle password degli account del sito e può avere dato il libero accesso amministrativo all’attcker. Nel mese di maggio, PHP-Nuke è stato epurato da una brutta modifica che per quattro giorni ha tentato di installare malware sui computer dei visitatori ‘.