Een mirror van de bekende downloadsite SourceForge heeft enige tijd een besmette versie van phpMyAdmin aangeboden, die door honderden mensen is gedownload. phpMyAdmin is een programma dat wordt gebruikt voor het beheren van databases en wordt op webservers geïnstalleerd. SourceForge is een platform voor open source projecten.

De software wordt vanaf verschillende downloadservers in de wereld aangeboden, de zogeheten mirrors. Op een Koreaanse mirror genaamd 'cdnetworks-kr-1' wisten aanvallers een versie van phpMyAdmin te plaatsen met een backdoor. De aanval op de mirror zou rond 22 september hebben plaatsgevonden.

Het bestand in kwestie heet phpMyAdmin-3.5.2.2-all-languages.zip en werd alleen via de gehackte Koreaanse mirror aangeboden. SourceForge denkt dat het bestand alleen op de Koreaanse mirror is aangepast, maar voert verder onderzoek uit om dit te bevestigen. Besmette installaties bevatten het bestand server_sync.php.

Slachtoffers
Uit de downloadlogs blijkt de besmette phpMyAdmin door zo'n 400 gebruikers is gedownload. De gebruikers die aan de hand van de logs waren te identificeren zijn via e-mail gewaarschuwd. De backdoor zorgt ervoor dat een aanvaller commando's met de rechten van de webserver-gebruiker kan uitvoeren.

Een concreet advies geeft SourceForge niet aan gebruikers, die volgens de website het risico voor zichzelf moeten inschatten. "Downloaders lopen risico als ze het besmette bestand hebben gedownload, geïnstalleerd op een server en de server ingeschakeld. Het controleren van weblogs en andere servergegevens moet helpen bij het bevestigen of de backdoor is benaderd."

Ook phpMyAdmin heeft een waarschuwing voor de backdoor afgegeven. De backdoor is inmiddels ook aan hackertool Metasploit toegevoegd.