Správci serveru PHP.net museli tuto doménu odstavit. Zjistili totiž, že 2 z jejich serverů šířily malware. Stalo se tak ve čtvrtek ráno (kdy bylo také vydáno prohlášení), přičemž kompromitování bylo objeveno díky službě SafeBrowsing od Googlu. Ta již několik let pomáhá odhalit malware a napojení na phishingové servery. Vyzkoušet si jí můžete po přidání konkrétní webové adresy za www.google.com/safebrowsing/diagnostic?site=. Služba funguje také jako doplněk pro Firefox, Chrome a Safari, kdy vám zablokuje přístup na infikované stránky.
Útočníci využili malware vytvořený v JavaScriptu a podle zmíněného prohlášení nakazily malé procento návštěvníků webu. Podle analytika z Kaspersky Lab byl využit trojský kůň Tepfer, který pocházel z Magnitude Exploit Kitu. Uživatele na něj hackeři směrovali pomocí iframe. Zajímavou skutečností jistě je, že v době útoků tento malware dokázalo detekovat pouze 5 z bezmála 50 testovaných antivirů. Počet nakažených uživatelů zatím není znám.
Zlomyslný JavaScript byl všem uživatelům servírován ze souboru pod názvem userprefs.js jedním ze serverů PHP.net. Pouze některým byl však do něj přidán payload umístěný v iframe. Uživatel byl poté přesměrován na mnoho dalších webů. Kód webu pravděpodobně nebyl upravován manuálně a zatím z vyšetřování nevyplynulo, jak se to útočníkům podařilo.
Útoky trvaly již od úterý a jejich stopy zveřejnili výzkumnící z BarracudaLabs v podobě pcap souboru. Průniků byly ušetřeny Git repozitáře a nejsou důkazy o tom, že by byly změněny jakékoliv zdrojové kódy. V současné době jsou napadené servery přemístěny. Kromě toho je také dočasně znemožněn přístup přes HTTPS z důvodu obav ztráty privátního klíče SSL certifikátu. Všechna uživatelská hesla mají být v těchto dnech zresetována.