PhpMyAdmin con puerta trasera

PhpMyAdmin ha reconocido que temporalmente se ha distribuido desde
repositorios oficiales de Sourceforge una versión de su programa que
ha sido modificada y a la que se le ha añadido una puerta trasera.

El software malicioso se ha encontrado en el paquete
“phpMyAdmin-3.5.2.2-all-languages.zip” localizado en el servidor espejo
“cdnetworks-kr-1” de SourceForge.net. En este paquete se encontraba el
fichero legítimo ‘js/cross_framing_protection.js’ modificado, y además
archivo ajeno a la distribución que contenía toda la lógica de la puerta
trasera: server_sync.php.

El funcionamiento de la puerta trasera permitía a los atacantes obtener
el control del servidor donde se hubiese instalado esta versión
modificada. El fichero ‘server_sync.php’ contenía en su interior el
siguiente código:

Fuente

Desde SourceForge se está investigando aún el caso. Estos servidores
alojan más de 300.000 proyectos y no descartan que pueda encontrarse
algún proyecto más comprometido, o que la puerta trasera pueda haberse
replicado en otro mirror.

Ya se ha agregado un módulo a Metasploit para comprobar desde el
programa que existe esta puerta trasera en una instalación.

En enero de 2011 ya atacaron Sourceforge. Se detectaron una serie de
ataques dirigidos específicamente contra ellos que concluyeron con el
compromiso de varios servidores. Sourceforge se ha vio obligada a apagar
“un puñado” de servidores para intentar contrarrestar el ataque.

PhpMyAdmin ha recomendado la descarga y reinstalación completa del
software si contiene el fichero ‘server_sync.php’.
 Fuente