php.net elencato come sospetto: visitare questo sito Web può danneggiare il computer

28

Quando accedo a php.net tramite la ricerca di Google ricevo il seguente messaggio che dice

Il sito Web avanti contiene malware!

Vedi lo screenshot allegato di seguito: Il sito Web avanti contiene malware!

È lo stesso per voi ragazzi? Come posso evitarlo?

Questo significa che il sito è stato violato o attaccato da malware?

php  search  malware 
onefourone14
fonte
1
Bob
2
Secondo questa discussione sul forum dei webmaster di Google, qualcuno è riuscito a iniettare un iframe nel sito :) Il file sospetto sembra ok ora, ma i registri mostrano che prima conteneva codice dannoso
onetrickpony
Matt Cutts ha twittato questo articolo
Martin Smith il

Risposte:

21

Questo perché Google ha eseguito un controllo regolare sul sito Web negli ultimi 90 giorni. I risultati furono questi:

Delle 1513 pagine che abbiamo testato sul sito negli ultimi 90 giorni, 4 pagine hanno causato il download e l'installazione di software dannoso senza il consenso dell'utente. L'ultima volta che Google ha visitato questo sito è stato il 23-10-2013 e l'ultima volta che sono stati rilevati contenuti sospetti su questo sito è stato il 23-10-2013.

Il software dannoso include 4 trojan.

Software dannoso è ospitato su 4 domini, tra cui cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domini sembrano funzionare da intermediari per la distribuzione di malware ai visitatori di questo sito, tra cui stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Ciò è probabilmente dovuto al fatto che le persone stanno lasciando collegamenti a questi siti Web in tutto php.net.

Ash King
fonte
Hai una fonte per l'affermazione che Google etichetta un sito come potenzialmente dannoso solo perché contiene collegamenti (che devono essere cliccati deliberatamente dall'utente) a siti che ospitano software dannoso? Se vero, sembra un comportamento incredibilmente stupido che non è utile per l'utente.
Mark Amery,
1
La diagnostica di navigazione sicura (da cui proviene la citazione sopra) dice anche " Questo sito ha ospitato malware? No, questo sito non ha ospitato software dannoso negli ultimi 90 giorni. " Quindi, se Google afferma esplicitamente che php.net stesso non ha ospitato malware, posso solo concludere che il malware deve essere stato trovato su siti collegati.
marcvangend,
Questo suona come un enorme eccesso da parte di Google. Spero che lo risolvano presto perché php.net è una parte abbastanza cruciale del mio lavoro quotidiano.
Shadur,
8
"4 pagine hanno causato il download e l'installazione di software dannoso senza il consenso dell'utente." implica tuttavia che non si trattava solo di collegamenti alle pagine.
Megan Walker,
1
@Shadur: Facciamo tutti affidamento su riferimenti, ma se non riesci a cavartela senza php.net per alcuni giorni, potrebbe essere il momento di allenarti;)
Lightness Races con Monica
27

C'è di più in questo. Ci sono rapporti (1100 GMT 2013-10-24) che i collegamenti sono stati iniettati nel Javascript utilizzato dal sito e che per il momento è stato violato.

Fino a quando non sentirai diversamente, eviterei il sito. Presto - tutto andrà bene senza dubbio.

Dizzley
fonte
5
Il codice iniettato è stato esposto qui: news.ycombinator.com/item?id=6604156
Bob
5

Dal punto di vista di php.net stesso, sembra un falso positivo:

http://php.net/archive/2013.php#id2013-10-24-1

Il 24 ott 2013 06:15:39 +0000 Google ha iniziato a dire che www.php.net ospitava malware. Inizialmente gli Strumenti per i Webmaster di Google sono stati piuttosto ritardati nel mostrare il motivo per cui e quando lo hanno fatto assomigliavano molto a un falso positivo perché avevamo un javascript minimizzato / offuscato che veniva iniettato dinamicamente in userprefs.js. Anche questo sembrava sospetto per noi, ma in realtà è stato scritto per fare esattamente questo, quindi eravamo abbastanza sicuri che fosse un falso positivo, ma continuavamo a scavare.

Si è scoperto che pettinando i log di accesso per static.php.net veniva periodicamente pubblicato userprefs.js con la lunghezza del contenuto errata e poi ripristinato alla dimensione giusta dopo pochi minuti. Ciò è dovuto a un processo cron rsync. Quindi il file veniva modificato localmente e ripristinato. Il crawler di Google ha rilevato una di queste piccole finestre in cui veniva offerto il file sbagliato, ma ovviamente, quando l'abbiamo guardato manualmente, sembrava perfetto. Quindi più confusione.

Stiamo ancora studiando come qualcuno ha causato la modifica di quel file, ma nel frattempo abbiamo migrato www / static su nuovi server puliti. La massima priorità è ovviamente l'integrità del codice sorgente e dopo una rapida:

git fsck --no-reflog --full --strict

su tutti i nostri repository, oltre a controllare manualmente i md5sum dei file di distribuzione PHP, non vediamo prove che il codice PHP sia stato compromesso. Abbiamo uno specchio dei nostri repository git su github.com e controlleremo manualmente anche i commit di git e avremo un post-mortem completo sull'intrusione quando avremo un quadro più chiaro di ciò che è successo.

xiankai
fonte
3
Mi sembra che la dichiarazione stia dicendo che php.net pensa che potrebbe essere stato effettivamente violato. Si noti che stanno eseguendo un controllo di sicurezza su tutto il loro codice.
Kevin - Ripristina Monica il
4

Ultimo aggiornamento (al momento della pubblicazione di questa risposta)

http://php.net/archive/2013.php#id2013-10-24-2

Stiamo continuando a lavorare sulle ripercussioni del problema relativo al malware php.net descritto in un post di notizie di oggi. Come parte di questo, il team di sistemi php.net ha verificato tutti i server gestiti da php.net e ha scoperto che due server sono stati compromessi: il server che ha ospitato www.php.net, static.php.net e git.php domini .net , ed era precedentemente sospettato in base al malware JavaScript e al server che ospitava bugs.php.net . Al momento non è noto il metodo con cui questi server sono stati compromessi.

Tutti i servizi interessati sono stati migrati da quei server. Abbiamo verificato che il nostro repository Git non è stato compromesso e rimane in modalità di sola lettura poiché i servizi vengono ripristinati per intero.

Poiché è possibile che gli aggressori abbiano avuto accesso alla chiave privata del certificato SSL php.net , l'abbiamo revocata immediatamente. Stiamo per ottenere un nuovo certificato e prevediamo di ripristinare l'accesso ai siti php.net che richiedono SSL (compresi bugs.php.net e wiki.php.net) nelle prossime ore.

Adi
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.