php.net вказаний як підозрілий - відвідування цього веб-сайту може завдати шкоди вашому комп'ютеру

28

Коли я отримую доступ до php.net через пошук у Google, я отримую таке повідомлення

Веб-сайт попереду містить зловмисне програмне забезпечення!

Дивіться скріншот, що додається нижче:

Це те ж саме, хлопці? Як я можу цього уникнути?

Чи означає це, що сайт зламали чи напали зловмисне програмне забезпечення?

php search malware

— onefourone14
джерело

1

Пов'язаний: news.ycombinator.com/item?id=6603831 productforums.google.com/forum/#!topic/webmasters/puLmvjtK0m8

— Bob

2

Відповідно до цієї теми на форумі веб-майстрів Google, комусь вдалося ввести iframe на сайт :) Підозрілий файл зараз здається нормальним, але журнали показують, що він раніше містив шкідливий код

— onetrickpony

Метт Куттс написав (

— Мартін Сміт

21

Це пояснюється тим, що компанія Google регулярно перевіряла веб-сайт за останні 90 днів. Результати були такими:

З 1513 сторінок, які ми перевірили на сайті за останні 90 днів, 4 сторінки призвели до завантаження та встановлення зловмисного програмного забезпечення без згоди користувача. Востаннє, коли Google відвідував цей сайт, відбувся 2013-10-23, а підозрілий вміст цього разу було знайдено 2013-10-23.

Зловмисне програмне забезпечення включає 4 трояни (и).

Зловмисне програмне забезпечення розміщено в 4 домен (ах), включаючи cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 домен (-ів) є посередником (-ами) поширення зловмисних програм серед відвідувачів цього веб-сайту, включаючи stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Це, мабуть, тому, що люди залишають посилання на ці веб-сайти протягом усього часу php.net.

— Зольний король
джерело

Чи є у вас джерело твердження, що Google позначає сайт як потенційно шкідливий лише тому, що він містить посилання (на які користувач повинен навмисно натискати) на сайти, на яких розміщено зловмисне програмне забезпечення? Якщо це правда, це здається неймовірно дурною поведінкою, яка не є корисною для користувача.

— Марк Амері

1

Діагностики безпечного перегляду (з якого вище прийшла цитата) також говорить , що « на цьому сайті зловмисне програмне забезпечення ПО ? Ні, цей сайт не поширював зловмисне програмне забезпечення протягом останніх 90 днів. » Так що, якщо Google прямо вказано , що php.net сам не зробив господар зловмисне програмне забезпечення, я можу лише зробити висновок, що зловмисне програмне забезпечення повинно знаходитись на пов'язаних сайтах.

— marcvangend

Це звучить як величезна надмірність з боку google. Я сподіваюся, що незабаром це виправлять, оскільки php.net - це досить важлива частина моєї щоденної роботи.

— Шадур

8

"На 4 сторінках було завантажено та встановлено зловмисне програмне забезпечення без згоди користувача." Має на увазі, що це було більше, ніж просто посилання на сторінки.

— Меган Уокер

1

@Shadur: Усі ми покладаємось на посилання, але якщо ви не можете обійтись без php.net протягом декількох днів, можливо, настав час для деяких тренувань;)

— Гонки легкості з Монікою

27

До цього є більше. Є повідомлення (1100 GMT 2013-10-24), що посилання були введені до Javascript, який використовує сайт, і тому він наразі зламаний.

Поки ви не почуєте інакше, я б уникав сайту. Незабаром - все буде добре без сумнівів.

— Дізлі
джерело

5

Тут було викрито введений код: news.ycombinator.com/item?id=6604156

— Боб

6

Якщо перейти на сторінку діагностики безпечного перегляду , ви зможете побачити це:

Сторінка діагностики безпечного перегляду

Щоб підкреслити:

Зараз цей сайт не вказаний як підозрілий.

Вони виправили це, коли я опублікував цю відповідь.

— NobleUplift
джерело

1

Я виправив свою посаду.

— NobleUplift

5

З точки зору самого php.net, це здається хибним позитивом:

http://php.net/archive/2013.php#id2013-10-24-1

24 жовтня 2013 06:15:39 +0000 Google почав говорити, що www.php.net розміщує зловмисне програмне забезпечення. Інструменти Google для веб-майстрів спочатку були досить затримані, показуючи причину, чому і коли вони це робили, це виглядало як помилковий позитив, тому що у нас був зменшений / затуманений JavaScript, який динамічно вводиться в userprefs.js. Це виглядало і для нас підозріло, але насправді було написано саме так, щоб ми були впевнені, що це помилковий позитив, але ми продовжували копати.

Виявилося, що, прошиваючи журнали доступу для static.php.net, він періодично обслуговував userprefs.js з неправильною довжиною вмісту, а потім через кілька хвилин повертався до потрібного розміру. Це пов'язано з роботою cron rsync. Отже файл змінювався локально та повертався. Гусеничний гугл Google зловив одне з цих невеликих вікон, де подається неправильний файл, але, звичайно, коли ми переглянули його вручну, це виглядало чудово. Тож більше плутанини.

Ми досі розслідуємо, як хтось спричинив зміну цього файлу, але тим часом ми перенесли www / static на нові чисті сервери. Найвищий пріоритет, очевидно, є цілісністю вихідного коду і після швидкого:

git fsck --no-reflog --full - обмежити

На всіх наших репозах плюс вручну перевіряючи md5суми файлів розповсюдження PHP, ми не бачимо жодних доказів того, що код PHP був порушений. У нас є дзеркало наших git repos на github.com, і ми вручну перевірятимемо git commits і матимемо повне посмертне втручання, коли маємо чіткішу картину того, що сталося.

— xiankai
джерело

3

Мені здається, що заява говорить про те, що php.net вважає, що насправді це було зламано. Зауважте, що вони роблять перевірку безпеки всього свого коду.

— Кевін - Відновити Моніку

4

Останнє оновлення (на момент опублікування цієї відповіді)

http://php.net/archive/2013.php#id2013-10-24-2

Ми продовжуємо працювати над наслідками проблеми зловмисного програмного забезпечення php.net, описаної в публікації новин раніше сьогодні. В рамках цього колектив систем php.net провів аудит кожного сервера, керованого php.net, і виявив, що два сервери були порушені: сервер, на якому розміщені www.php.net, static.php.net та git.php .net домени , і раніше підозрювались на основі зловмисного програмного забезпечення JavaScript та сервера, на якому розміщено bugs.php.net . Спосіб компрометації цих серверів наразі невідомий.

Усі сервіси, на які постраждали, були переміщені з цих серверів. Ми перевірили, що наш сховище Git не було порушено, і воно залишається в режимі лише для читання, оскільки служби повертаються в повному обсязі.

Оскільки можливо, що зловмисники, можливо, отримали доступ до приватного ключа сертифікату SSL php.net , ми негайно його відкликали. Ми зараз отримуємо новий сертифікат і очікуємо відновити доступ до сайтів php.net, для яких потрібен SSL (включаючи bugs.php.net та wiki.php.net) протягом найближчих кількох годин.

— Аді
джерело