Korejský mirror serveru SourceForge servíroval uživatelům upravenou verzi populárního nástroje phpMyAdmin, sloužícího ke správě databáze přes webové rozhraní. Jakmile správci problém odhalili, okamžitě vyřadili server z provozu. Přesto si napadenou verzi stihly stáhnout asi čtyři stovky uživatelů.
Při vyšetřování se ukázalo, že byl napaden pouze tento jeden server a kód na něm vydržel asi tři dny. Jednalo se o soubor phpMyAdmin-3.5.2.2-all-languages.zip
, který byl upraven tak, aby umožňoval útočníkovi vzdáleně ovládnout server s touto aplikací a spouštět libovolný kód. Pokud jste za poslední tři dny tento program stahovali, zkontrolujte, zda jeho instalace neobsahuje soubor server_sync.php
, ve kterém je právě ukryt zákeřný kód.