php.net được liệt kê là đáng ngờ - truy cập trang web này có thể gây hại cho máy tính của bạn

28

Khi tôi truy cập php.net thông qua tìm kiếm Google, tôi nhận được thông báo sau:

Website phía trước chứa phần mềm độc hại!

Xem ảnh chụp màn hình đính kèm bên dưới:

Các bạn có giống nhau không? Làm thế nào tôi có thể tránh điều này?

Điều này có nghĩa là trang web đã bị tấn công hoặc tấn công bởi phần mềm độc hại?

php search malware

— onefourone14
nguồn

1

Liên quan: news.ycombinator.com/item?id=6603831 sản

— Bob

2

Theo chủ đề này trên diễn đàn quản trị trang web của Google, ai đó đã quản lý để tiêm iframe vào trang web :) Hiện tại tệp đáng ngờ có vẻ ổn, nhưng nhật ký cho thấy rằng nó đã chứa mã độc trước đó

— onetrickpony

Matt Cutts đã tweet bài viết này lên

— Martin Smith

21

Điều này là do Google đã thực hiện kiểm tra thường xuyên trên trang web trong 90 ngày qua. Kết quả là thế này:

Trong số 1513 trang chúng tôi đã thử nghiệm trên trang web trong 90 ngày qua, có 4 trang dẫn đến phần mềm độc hại được tải xuống và cài đặt mà không có sự đồng ý của người dùng. Lần cuối cùng Google truy cập trang web này là vào ngày 2013-10-23 và lần cuối cùng nội dung đáng ngờ được tìm thấy trên trang web này là vào ngày 2013-10-23.

Phần mềm độc hại bao gồm 4 trojan.

Phần mềm độc hại được lưu trữ trên 4 tên miền, bao gồm cobbcountybankruptcylawyer.com/, stephaniemari.com/, southgadui.com/.

3 tên miền dường như hoạt động như một trung gian để phân phối phần mềm độc hại cho khách truy cập của trang web này, bao gồm stephaniemari.com/, southgadui.com/, satnavreviewed.co.uk/.

Điều này có thể là do mọi người đang để lại liên kết đến các trang web này trong suốt php.net.

— Vua tro
nguồn

Bạn có nguồn nào cho khiếu nại rằng Google gắn nhãn một trang web có khả năng gây hại chỉ vì nó chứa các liên kết (phải được người dùng nhấp vào một cách có chủ ý) cho các trang web lưu trữ phần mềm độc hại không? Nếu đúng, đó có vẻ như là hành vi cực kỳ ngu ngốc không hữu ích cho người dùng.

— Đánh dấu Amery

1

Các duyệt web an toàn chẩn đoán (mà từ đó các báo ở trên đến) cũng nói rằng " Có trang web này có lưu trữ phần mềm độc hại? Không, trang web này đã không lưu trữ phần mềm độc hại trong 90 ngày qua. " Vì vậy, nếu Google một cách rõ ràng rằng php.net bản thân không chủ phần mềm độc hại, tôi chỉ có thể kết luận rằng phần mềm độc hại phải được tìm thấy trên các trang web được liên kết.

— marcvangend

Âm thanh này thích đồ sộ quá mức cần thiết trên một phần của google. Tôi hy vọng họ sẽ sửa nó sớm vì php.net là một phần khá quan trọng trong công việc hàng ngày của tôi.

— Shadur

8

"4 trang dẫn đến phần mềm độc hại được tải xuống và cài đặt mà không có sự đồng ý của người dùng." ngụ ý rằng nó không chỉ là các liên kết trên các trang.

— Megan Walker

1

@Shadur: Tất cả chúng ta đều dựa vào tài liệu tham khảo, nhưng nếu bạn không thể có được nếu không có php.net trong vài ngày thì có lẽ đã đến lúc được đào tạo;)

— Cuộc đua Lightness với Monica

27

Có nhiều hơn thế. Có những báo cáo (1100 GMT 2013-10-24) rằng các liên kết đã được đưa vào Javascript mà trang web sử dụng và do đó nó bị hack trong thời điểm hiện tại.

Cho đến khi bạn nghe khác đi, tôi sẽ tránh trang web. Sớm thôi - tất cả sẽ tốt thôi.

— Dizzley
nguồn

5

Mã được tiêm đã được hiển thị ở đây: news.ycombinator.com/item?id=6604156

— Bob

6

Và nếu bạn đi đến trang chẩn đoán Duyệt web an toàn , bạn có thể thấy rằng:

Trang chẩn đoán duyệt web an toàn

Để gạch dưới:

Trang web này hiện không được liệt kê dưới dạng nghi ngờ.

Họ đã sửa nó khi tôi đăng câu trả lời này.

— Cao quý
nguồn

1

Tôi đã sửa bài viết của mình.

— NobleUplift

5

Từ quan điểm của chính php.net, có vẻ như là một dương tính giả:

http://php.net/archive/2013.php#id2013-10-24-1

Vào ngày 24 tháng 10 năm 2013 06:15:39 +0000 Google bắt đầu nói www.php.net đang lưu trữ phần mềm độc hại. Các Công cụ quản trị trang web của Google ban đầu khá chậm trễ trong việc chỉ ra lý do tại sao và khi chúng hoạt động trông giống như một dương tính giả vì chúng tôi đã có một số javascript bị thu nhỏ / bị xáo trộn được đưa vào userprefs.js. Điều này có vẻ đáng nghi đối với chúng tôi, nhưng nó thực sự được viết để làm chính xác điều đó vì vậy chúng tôi khá chắc chắn đó là một dương tính giả, nhưng chúng tôi vẫn tiếp tục đào.

Hóa ra, bằng cách kết hợp với nhật ký truy cập cho static.php.net, nó đã định kỳ phục vụ userprefs.js với độ dài nội dung sai và sau đó trở lại đúng kích thước sau vài phút. Điều này là do một công việc cron rsync. Vì vậy, các tập tin đã được sửa đổi cục bộ và hoàn nguyên. Trình thu thập thông tin của Google đã bắt được một trong những cửa sổ nhỏ này, nơi tệp sai đang được phục vụ, nhưng tất nhiên, khi chúng tôi xem xét thủ công, nó trông vẫn ổn. Vì vậy, nhiều nhầm lẫn.

Chúng tôi vẫn đang điều tra làm thế nào một người nào đó khiến tập tin đó bị thay đổi, nhưng trong thời gian đó, chúng tôi đã chuyển www / static sang các máy chủ sạch mới. Ưu tiên cao nhất rõ ràng là tính toàn vẹn của mã nguồn và sau một cách nhanh chóng:

git fsck --no-reflog - đầy đủ - nghiêm ngặt

trên tất cả các repos của chúng tôi cộng với việc kiểm tra thủ công md5sums của các tệp phân phối PHP, chúng tôi không thấy bằng chứng nào cho thấy mã PHP đã bị xâm phạm. Chúng tôi có một bản sao của git repos của chúng tôi trên github.com và chúng tôi cũng sẽ kiểm tra thủ công git và có một hậu quả đầy đủ về sự xâm nhập khi chúng tôi có một bức tranh rõ ràng hơn về những gì đã xảy ra.

— xiankai
nguồn

3

Có vẻ như tôi tuyên bố rằng php.net nghĩ rằng nó thực sự đã bị hack. Lưu ý rằng họ đang kiểm tra bảo mật trên tất cả các mã của họ.

— Kevin - Tái lập Monica

4

Cập nhật mới nhất (tại thời điểm đăng câu trả lời này)

http://php.net/archive/2013.php#id2013-10-24-2

Chúng tôi đang tiếp tục khắc phục hậu quả của sự cố phần mềm độc hại php.net được mô tả trong một bài đăng trước đó hôm nay. Là một phần của việc này, nhóm hệ thống php.net đã kiểm tra mọi máy chủ do php.net vận hành và đã phát hiện ra rằng hai máy chủ đã bị xâm nhập: máy chủ lưu trữ www.php.net, static.php.net và git.php tên miền .net và trước đây đã bị nghi ngờ dựa trên phần mềm độc hại JavaScript và máy chủ lưu trữ bug.php.net . Phương thức mà các máy chủ này bị xâm phạm là không rõ tại thời điểm này.

Tất cả các dịch vụ bị ảnh hưởng đã được di chuyển khỏi các máy chủ đó. Chúng tôi đã xác minh rằng kho Git của chúng tôi không bị xâm phạm và nó vẫn ở chế độ chỉ đọc khi các dịch vụ được cung cấp đầy đủ.

Vì có thể những kẻ tấn công có thể đã truy cập khóa riêng của chứng chỉ SSL php.net , chúng tôi đã thu hồi nó ngay lập tức. Chúng tôi đang trong quá trình nhận chứng chỉ mới và hy vọng sẽ khôi phục quyền truy cập vào các trang php.net yêu cầu SSL (bao gồm bug.php.net và wiki.php.net) trong vài giờ tới.

— Adi
nguồn