php.net wymieniony jako podejrzany - odwiedzenie tej witryny może spowodować uszkodzenie komputera

28

Gdy uzyskuję dostęp do php.net za pośrednictwem wyszukiwarki Google, otrzymuję następujący komunikat z informacją

Strona internetowa zawiera złośliwe oprogramowanie!

Zobacz zrzut ekranu załączony poniżej: The Website Ahead Contains Malware!

Czy to samo dla was? Jak mogę tego uniknąć?

Czy to oznacza, że ​​witryna została zhakowana lub zaatakowana przez złośliwe oprogramowanie?

php search malware onefourone14
źródło
1
Związane z: news.ycombinator.com/item?id=6603831 productforums.google.com/forum/#!topic/webmasters/puLmvjtK0m8
Bob
2
Według ten wątek na forum Google dla webmasterów ktoś zdołał wstrzyknąć iframe do witryny :) Podejrzany plik wydaje się teraz w porządku, ale dzienniki pokazują, że zawierał szkodliwy kod przed
onetrickpony
Matt Cutts napisał na Twitterze to napisz
Martin Smith

Odpowiedzi:

21

Wynika to z faktu, że Google regularnie sprawdzało witrynę w ciągu ostatnich 90 dni. Wyniki były następujące:

Z 1513 stron przetestowanych w witrynie w ciągu ostatnich 90 dni, 4 stron spowodowało pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika. Ostatnim razem, gdy Google odwiedził tę stronę, był 2013-10-23, a ostatni raz podejrzana zawartość została znaleziona na tej stronie w dniach 2013-10-23.

Złośliwe oprogramowanie zawiera 4 trojany.

Złośliwe oprogramowanie działa w 4 domenach, w tym cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

Wydaje się, że 3 domeny działają jako pośrednicy do rozpowszechniania złośliwego oprogramowania wśród odwiedzających tę witrynę, w tym stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Jest tak prawdopodobnie dlatego, że ludzie pozostawiają linki do tych stron w całym tekście php.net.

Ash King
źródło
Czy masz źródło twierdzenia, że ​​Google oznacza witrynę jako potencjalnie szkodliwą tylko dlatego, że zawiera spinki do mankietów (które muszą być celowo klikane przez użytkownika) na strony zawierające złośliwe oprogramowanie? Jeśli to prawda, wydaje się to być niesamowicie głupim zachowaniem, które nie jest pomocne dla użytkownika.
Mark Amery
1
The diagnostyka bezpiecznego przeglądania (z którego pochodzi powyższy cytat) również mówi „ Czy ta witryna zawiera złośliwe oprogramowanie? Nie, ta witryna nie gościła złośliwego oprogramowania w ciągu ostatnich 90 dni. „Jeśli więc Google wyraźnie stwierdzi, że php.net nie hostuje złośliwego oprogramowania, mogę jedynie stwierdzić, że złośliwe oprogramowanie musiało zostać znalezione na powiązanych stronach.
marcvangend
To brzmi jak masywny przesadzić w części google. Mam nadzieję, że szybko to naprawią, ponieważ php.net jest bardzo istotną częścią mojej codziennej pracy.
Shadur
8
„4 strony spowodowały pobranie i zainstalowanie złośliwego oprogramowania bez zgody użytkownika”. sugeruje jednak, że było to coś więcej niż tylko linki na stronach.
Megan Walker
1
@Shadur: Wszyscy polegamy na referencjach, ale jeśli nie możesz się obejść bez php.net przez kilka dni, może to być czas na szkolenie;
Lightness Races in Orbit
27

To coś więcej. Istnieją doniesienia (1100 GMT 2013-10-24), że linki zostały wstrzyknięte do Javascript, którego używa strona i dlatego na razie są zhakowane.

Dopóki nie usłyszysz inaczej, uniknę strony. Wkrótce - wszystko będzie bez wątpienia.

Dizzley
źródło
5
Wstrzykiwany kod został ujawniony tutaj: news.ycombinator.com/item?id=6604156
Bob
5

Z perspektywy samego php.net wygląda na fałszywy wynik pozytywny:

http://php.net/archive/2013.php#id2013-10-24-1

W dniu 24 października 2013 r. 06:15:39 +0000 Google zaczęło mówić, że www.php.net hostuje złośliwe oprogramowanie. Narzędzia Google dla webmasterów początkowo były dość opóźnione w pokazywaniu powodów, dla których tak się stało, a kiedy to zrobiły, wyglądało to jak fałszywy wynik pozytywny, ponieważ w pliku userprefs.js dynamicznie wstrzykiwano minifikowany / zaciemniony javascript. To również wydawało nam się podejrzane, ale w rzeczywistości napisano, aby zrobić dokładnie to, więc byliśmy całkiem pewni, że to fałszywie dodatni wynik, ale wciąż kopaliśmy.

Okazało się, że przeczesując logi dostępu do pliku static.php.net, okresowo wyświetlał on userprefs.js o niewłaściwej długości treści, a po kilku minutach powracał do właściwego rozmiaru. Wynika to z zadania rsync cron. Plik został zmodyfikowany lokalnie i cofnięty. Robot Google złapał jedno z tych małych okien, w których był podawany niewłaściwy plik, ale oczywiście, gdy spojrzeliśmy na to ręcznie, wyglądało dobrze. Więc więcej zamieszania.

Nadal badamy, jak ktoś spowodował zmianę tego pliku, ale w międzyczasie przenieśliśmy www / statyczny na nowe czyste serwery. Najwyższym priorytetem jest oczywiście integralność kodu źródłowego i po krótkim czasie:

git fsck --no-reflog --full --strict

na wszystkich naszych repozycjach plus ręczne sprawdzanie sum md5 plików dystrybucyjnych PHP nie widzimy żadnych dowodów na to, że kod PHP został naruszony. Mamy lustro naszych repozytoriów git na github.com, a my ręcznie sprawdzimy zatwierdzenia git i mamy pełną sekcję pośmiertną, gdy mamy wyraźniejszy obraz tego, co się stało.

xiankai
źródło
3
Wygląda na to, że oświadczenie mówi, że php.net uważa, że ​​mógł zostać zhakowany. Zauważ, że przeprowadzają kontrolę bezpieczeństwa całego swojego kodu.
Kevin
4

Najnowsza aktualizacja (w momencie publikowania tej odpowiedzi)

http://php.net/archive/2013.php#id2013-10-24-2

Kontynuujemy pracę nad następstwami php.net   problem ze złośliwym oprogramowaniem opisany w dzisiejszym artykule informacyjnym. W ramach tego   zespół systemów php.net przeprowadził audyt każdego serwera obsługiwanego przez   php.net i znaleźliśmy to dwa serwery zostały naruszone: serwer   który obsługiwał domeny www.php.net, static.php.net i git.php.net ,   i wcześniej podejrzewano, że bazuje na złośliwym oprogramowaniu JavaScript, i   serwer hostingowy bugs.php.net . Metoda, za pomocą której te serwery były   zagrożone jest obecnie nieznane.

Wszystkie usługi, których dotyczy problem, zostały zmigrowane z tych serwerów. Mamy   zweryfikowałem, że nasze repozytorium Git nie zostało naruszone i pozostaje   w trybie tylko do odczytu, ponieważ usługi są przywracane w całości.

Tak jak możliwe, że napastnicy uzyskali dostęp do klucza prywatnego   certyfikatu SSL php.net , natychmiast go odwołaliśmy. Jesteśmy   w trakcie uzyskiwania nowego certyfikatu i oczekuję przywrócenia   dostęp do stron php.net, które wymagają SSL (w tym bugs.php.net i   wiki.php.net) w ciągu najbliższych kilku godzin.

Adi
źródło