Şüpheli olarak listelenen php.net - bu web sitesini ziyaret etmek bilgisayarınıza zarar verebilir


28

Php.net’e Google’da arama yaptığımda aşağıdaki mesajı alıyorum

Önümüzdeki Web Sitesi Kötü Amaçlı Yazılım İçeriyor!

Aşağıdaki ekran görüntüsüne bakın: Önümüzdeki Web Sitesi Kötü Amaçlı Yazılım İçeriyor!

Sizler için aynı mı? Bundan nasıl kaçınabilirim?

Bu, sitenin kötü amaçlı yazılım tarafından saldırıya uğradığı veya saldırıya uğradığı anlamına mı geliyor?



2
Google’ın web yöneticisi forumundaki bu konuya göre , birisi siteye bir iframe enjekte etmeyi başardı :) Şüpheli dosya şu anda iyi görünüyor, ancak günlükleri daha önce kötü amaçlı kod içerdiğini gösteriyor
onetrickpony

Matt Cutts bu
Martin Smith,

Yanıtlar:


21

Bunun nedeni, Google’ın son 90 gün içinde web sitesinde düzenli bir kontrol yapmasıdır. Sonuçlar şuydu:

Sitede son 90 gün içinde test ettiğimiz 1513 sayfanın 4 sayfası, kötü amaçlı yazılımların kullanıcı izni olmadan indirilmesi ve kurulmasıyla sonuçlandı. Google’ın bu siteyi en son ziyaret ettiği tarih 2013-10-23’te, bu sitede en son şüpheli içerik 2013-10-23’te bulundu.

Kötü amaçlı yazılım 4 trojan (lar) içerir.

Cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/ dahil 4 alan adında barındırılıyor.

Stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/ dahil 3 alan adı, bu sitenin ziyaretçilerine kötü amaçlı yazılım dağıtmak için aracı olarak çalışıyor gibi görünmektedir.

Bunun nedeni muhtemelen insanların bu web sitelerine bağlantılar bıraktıklarıdır php.net.


Google’ın kötü amaçlı yazılım barındıran sitelere bağlantı sağladığı için (bir kullanıcı tarafından kasten tıklanması gereken) yalnızca bir siteyi potansiyel olarak zararlı olarak etiketlediğini iddia eden bir kaynağınız var mı? Doğruysa, kullanıcı için yardımcı olmayan inanılmaz derecede aptalca bir davranış gibi görünüyor.
Mark Amery 24:13

1
Tanısal güvenli tarama (alıntı yukarıda geldiği) aynı zamanda "diyor bu site kötü amaçlı yazılım barındırılıyor etti mi? Hayır, bu site 90 gün içinde kötü amaçlı yazılım barındırmamaktadır. " Google açıkça kendisi ev sahibi olmadıkları php.net devletler Yani eğer kötü amaçlı yazılım, yalnızca kötü amaçlı yazılımın bağlantılı sitelerde bulunabileceği sonucuna varabilirim.
marcvangend

Bu, Google’ın büyük kitlesel overkill gibi geliyor . Umarım yakında düzeltebilirler çünkü php.net günlük işimin çok önemli bir parçası.
Shadur

8
"4 sayfa, kötü amaçlı yazılımın kullanıcı izni olmadan indirilmesi ve kurulmasıyla sonuçlandı." Ancak bunun sayfalardaki bağlantılardan ibaret olmadığını gösteriyor.
Megan Walker

1
@Shadur: Hepimiz referanslara güveniyoruz, ancak birkaç gün php.net olmadan geçemiyorsanız, o zaman bir eğitim için zaman olabilir;)
Monica ile Hafiflik Yarışları

27

Bunun için daha var. Sitenin kullandığı Javascript’e bağlantıların enjekte edildiğine ve şu an için hacklendiğine dair haberler (1100 GMT 2013-10-24) bulunmaktadır.

Farklı bir şekilde duyana kadar siteden uzak dururum. Yakında - hiç şüphe yok ki iyi olacak.


5
Enjekte edilen kod burada açıklanmıştır: news.ycombinator.com/item?id=6604156
Bob


5

Php.net'in perspektifinden bakıldığında, yanlış bir pozitif gibi görünüyor:

http://php.net/archive/2013.php#id2013-10-24-1

24 Ekim 2013 06:15:39 +0000 tarihinde Google, www.php.net sitesinin kötü amaçlı yazılım barındırdığını söylemeye başladı. Google Web Yöneticisi Araçları, neden ve ne zaman yaptıklarının yanlış bir pozitif gibi göründüğünün nedenini gösterme konusunda oldukça gecikti çünkü biraz küçültülmüş / gizlenmiş bir javascript, userprefs.js'ye dinamik olarak enjekte edildi. Bu da bizim için şüpheli görünüyordu, ama aslında bunu yapmak için yazılmıştı, bu yüzden yanlış bir pozitif olduğuna oldukça emindik, ancak kazmaya devam ettik.

Static.php.net erişim günlüklerini tarayarak, düzenli aralıklarla userprefs.js ürününü yanlış içerik uzunluğuyla sunmakta ve birkaç dakika sonra tekrar doğru boyuta geri getirmektedir. Bu bir rsync cron işinden kaynaklanıyor. Böylece dosya yerel olarak değiştirildi ve geri alındı. Google’ın tarayıcısı, yanlış dosyanın sunulduğu bu küçük pencerelerden birini yakaladı, ancak elbette, elle baktığımızda, iyi görünüyordu. Bu yüzden daha fazla karışıklık.

Hala birisinin bu dosyanın nasıl değişmesine neden olduğunu araştırıyoruz, ancak bu arada www / static yazılımını yeni temiz sunuculara taşıdık. En yüksek öncelik açıkça kaynak kod bütünlüğüdür ve hızlı bir şekilde sonra:

git fsck --no-reflog --full --strict

Tüm depolarımızda ve PHP dağıtım dosyalarının md5sums'lerini manuel olarak kontrol ederken PHP kodunun tehlikeye girdiğine dair hiçbir kanıt görmüyoruz. Git depomuzun github.com'da bir aynası var ve biz de git taahhütlerini manuel olarak kontrol edeceğiz ve ne olduğuna dair daha net bir resmimiz olduğunda izinsiz girişte tam bir iptali yapacağız.


3
Açıklama bana php.net'in gerçekten saldırıya uğradığını düşündüğünü söylediği gibi görünüyor. Tüm kodlarını güvenlik kontrolü yaptıklarına dikkat edin.
Kevin - Monica'yı

4

Son güncelleme (bu cevabın gönderildiği tarihte)

http://php.net/archive/2013.php#id2013-10-24-2

Bugün erken saatlerde yayınlanan bir haberde açıklanan php.net kötü amaçlı yazılım sorununu yansımalarıyla çalışmaya devam ediyoruz. Bunun bir parçası olarak, php.net sistemleri ekibi php.net tarafından işletilen her sunucuyu denetledi ve iki sunucunun ele geçirildiğini buldu: www.php.net, static.php.net ve git.php'yi barındıran sunucu .net alan adlarından ve daha önce JavaScript kötü amaçlı yazılımına ve bugs.php.net'i barındıran sunucuya dayandığından şüpheleniliyordu . Bu sunucuların ele geçirildiği yöntem şu anda bilinmiyor.

Etkilenen tüm hizmetler bu sunuculardan geçirilmiştir. Git depomuzun tehlikeye girmediğini ve servisler tam olarak geri alındıkça salt okunur modda kaldığını doğruladık.

Gibi o saldırganlar php.net SSL sertifikasının özel anahtarı erişmiş aşması mümkündür , biz hemen iptal ettik. Yeni bir sertifika alma sürecindeyiz ve önümüzdeki birkaç saat içinde SSL gerektiren php.net sitelerine (bugs.php.net ve wiki.php.net dahil) erişimi yeniden yüklemeyi bekliyoruz.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.