php.net занесен в список подозрительных веб-сайтов - посещение этого сайта может нанести вред вашему компьютеру

28

Когда я захожу на php.net через поиск Google, я получаю следующее сообщение:

Сайт впереди содержит вредоносное ПО!

Смотрите скриншот ниже: Сайт впереди содержит вредоносное ПО!

Это то же самое для вас, ребята? Как я могу избежать этого?

Означает ли это, что сайт был взломан или атакован вредоносным ПО?

onefourone14
источник
2
Согласно этой ветке на форуме веб-мастеров Google, кому-то удалось внедрить на сайт iframe :) Теперь подозрительный файл выглядит нормально, но журналы показывают, что он ранее содержал вредоносный код
onetrickpony
Мэтт Каттс написал в Твиттере об этом
Мартин Смит

Ответы:

21

Это связано с тем, что за последние 90 дней Google регулярно проверял веб-сайт. Результаты были такими:

На 4 из 1513 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя. Последнее посещение этого сайта системой Google произошло 2013-10-23; последний раз подозрительный контент был обнаружен на этом сайте 2013-10-23.

Вредоносное ПО включает 4 trojan (s).

Количество доменов, на которых размещается вредоносное ПО, равняется 4, включая cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/

3 домен (ы), по-видимому, функционируют в качестве посредников для распространения вредоносного ПО среди посетителей этого сайта, включая stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Это, вероятно, потому что люди оставляют ссылки на эти сайты повсюду php.net.

Эш Кинг
источник
Есть ли у вас источник заявления о том, что Google помечает сайт как потенциально опасный только потому, что он содержит ссылки (которые должны быть сознательно выбраны пользователем) на сайты, на которых размещено вредоносное программное обеспечение? Если это правда, это кажется невероятно глупым поведением, которое бесполезно для пользователя.
Марк Эмери
1
Диагностики безопасного просмотра (из которого выше пришла цитата) также говорит , что « на этом сайте вредоносное ПО ? Нет, этот сайт не размещалось вредоносное программное обеспечение за последние 90 дней. » Так что, если Google прямо указано , что php.net сам не сделал хозяин вредоносное ПО, я могу только заключить, что вредоносное ПО должно быть найдено на связанных сайтах.
marcvangend,
Это звучит как массовое излишество со стороны Google. Надеюсь, они скоро это исправят, потому что php.net - довольно важная часть моей повседневной работы.
Шадур
8
«4 страница (-ы) привела к загрузке и установке вредоносного ПО без согласия пользователя». подразумевает, что это было больше, чем просто ссылки на страницах.
Меган Уокер,
1
@Shadur: Мы все полагаемся на ссылки, но если вы не можете обойтись без php.net в течение нескольких дней, тогда, возможно, настало время для некоторых тренировок;)
Легкость гонок с Моникой
27

Это еще не все. Есть сообщения (11:00 по Гринвичу 2013-10-24) о том, что ссылки были вставлены в Javascript, который использует сайт, и поэтому он временно взломан.

Пока вы не услышите иначе, я бы избегал сайта. Скоро - все будет хорошо, без сомнения.

Dizzley
источник
5
Введенный код был выставлен здесь: news.ycombinator.com/item?id=6604156
Боб,
5

С точки зрения самого php.net это выглядит как ложный позитив:

http://php.net/archive/2013.php#id2013-10-24-1

24 октября 2013 г. 06:15:39 +0000 Google начал говорить, что www.php.net размещает вредоносное ПО. Изначально инструменты Google для веб-мастеров показывали причину, почему и когда они это делали, это выглядело как ложное срабатывание, поскольку у нас был какой-то уменьшенный / запутанный JavaScript, динамически внедряемый в userprefs.js. Это также показалось нам подозрительным, но на самом деле оно было написано именно для этого, поэтому мы были совершенно уверены, что это был ложный позитив, но мы продолжали копать.

Оказалось, что, просматривая журналы доступа для static.php.net, он периодически обслуживал userprefs.js с неправильной длиной содержимого, а затем возвращался к нужному размеру через несколько минут. Это связано с работой rsync cron. Таким образом, файл был изменен локально и восстановлен. Сканер Google поймал одно из этих маленьких окон, где обслуживался неправильный файл, но, конечно, когда мы смотрели на него вручную, он выглядел хорошо. Так что больше путаницы.

Мы все еще изучаем, как кто-то вызвал изменение этого файла, но тем временем мы перенесли www / static на новые чистые серверы. Наивысшим приоритетом, очевидно, является целостность исходного кода и после быстрого:

git fsck --no-reflog --full --strict

во всех наших репозиториях, а также проверяя вручную md5sums дистрибутивных файлов PHP, мы не видим доказательств того, что код PHP был скомпрометирован. У нас есть зеркало наших репозиториев git на github.com, и мы также будем вручную проверять коммиты git и иметь полное посмертное вторжение, когда у нас будет более четкое представление о том, что произошло.

xiankai
источник
3
Мне кажется, что в заявлении говорится, что php.net думает, что его действительно взломали. Обратите внимание, что они выполняют проверку безопасности всего своего кода.
Кевин - Восстановить Монику
4

Последнее обновление (на момент публикации этого ответа)

http://php.net/archive/2013.php#id2013-10-24-2

Мы продолжаем работать над последствиями проблемы с вредоносным ПО php.net, описанной в сегодняшнем новостном сообщении. Как часть этого, системная команда php.net проверила каждый сервер, управляемый php.net, и обнаружила, что были взломаны два сервера: сервер, на котором размещены www.php.net, static.php.net и git.php Домены .net и ранее подозревались на основании вредоносной программы JavaScript и сервера, на котором размещается bugs.php.net . Способ, которым были взломаны эти серверы, в настоящее время неизвестен.

Все затронутые сервисы были перенесены с этих серверов. Мы убедились, что наш репозиторий Git не был скомпрометирован, и он остается в режиме только для чтения, так как сервисы полностью восстанавливаются.

Как это возможно , что злоумышленники получили доступ к закрытому ключу сертификата php.net SSL , мы немедленно аннулирован его. Мы находимся в процессе получения нового сертификата и ожидаем восстановить доступ к сайтам php.net, для которых требуется SSL (включая bugs.php.net и wiki.php.net) в ближайшие несколько часов.

Adi
источник