28

Когда я захожу на php.net через поиск Google, я получаю следующее сообщение:

Сайт впереди содержит вредоносное ПО!

Смотрите скриншот ниже: Сайт впереди содержит вредоносное ПО!

Это то же самое для вас, ребята? Как я могу избежать этого?

Означает ли это, что сайт был взломан или атакован вредоносным ПО?

5 ответов5

27

Это еще не все. Есть сообщения (11:00 по Гринвичу 2013-10-24) о том, что ссылки были вставлены в Javascript, который использует сайт, и поэтому он временно взломан.

Пока вы не услышите иначе, я бы избегал сайта. Скоро - все будет хорошо, без сомнения.

21

Это связано с тем, что за последние 90 дней Google регулярно проверял веб-сайт. Результаты были такими:

На 4 из 1513 страниц сайта, протестированных нами за последние 90 дней, происходила загрузка и установка вредоносного ПО без согласия пользователя. Последнее посещение этого сайта системой Google произошло 2013-10-23; последний раз подозрительный контент был обнаружен на этом сайте 2013-10-23.

Вредоносное ПО включает 4 trojan(s).

Количество доменов, на которых размещается вредоносное ПО, равняется 4, включая cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/

3 домен (ы), по-видимому, функционируют в качестве посредников для распространения вредоносного ПО среди посетителей этого сайта, включая stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Вероятно, это потому, что люди оставляют ссылки на эти сайты по всему php.net .

6

И если вы перейдете на страницу диагностики безопасного просмотра, вы увидите, что:

Безопасный просмотр страницы диагностики

Подчеркнуть:

В данный момент этот сайт не занесен в список подозрительных.

Они исправили это, поскольку я отправил этот ответ.

5

С точки зрения самого php.net это выглядит как ложный позитив:

http://php.net/archive/2013.php#id2013-10-24-1

24 октября 2013 г. 06:15:39 +0000 Google начал говорить, что на www.php.net размещается вредоносное ПО. Изначально инструменты Google для веб-мастеров показывали причину, почему и когда они это делали, это выглядело как ложное срабатывание, потому что у нас был какой-то уменьшенный / запутанный JavaScript, динамически внедряемый в userprefs.js. Это также показалось нам подозрительным, но на самом деле оно было написано именно для этого, поэтому мы были совершенно уверены, что это был ложный позитив, но мы продолжали копать.

Оказалось, что, просматривая журналы доступа для static.php.net, он периодически обслуживал userprefs.js с неправильной длиной содержимого, а затем возвращался к нужному размеру через несколько минут. Это связано с работой rsync cron. Таким образом, файл был изменен локально и восстановлен. Сканер Google поймал одно из этих маленьких окон, где обслуживался неправильный файл, но, конечно, когда мы смотрели на него вручную, он выглядел хорошо. Так что больше путаницы.

Мы все еще исследуем, как кто-то вызвал изменение этого файла, но в то же время мы перенесли www / static на новые чистые серверы. Самым высоким приоритетом, очевидно, является целостность исходного кода и после быстрого:

git fsck --no-reflog --full --strict

во всех наших репозиториях, а также проверяя вручную md5sums дистрибутивных файлов PHP, мы не видим доказательств того, что код PHP был скомпрометирован. У нас есть зеркало наших репозиториев git на github.com, и мы также будем вручную проверять коммиты git и иметь полное посмертное вторжение, когда у нас будет более четкое представление о том, что произошло.

4

Последнее обновление (на момент публикации этого ответа)

http://php.net/archive/2013.php#id2013-10-24-2

Мы продолжаем работать над последствиями проблемы с вредоносным ПО php.net, описанной в сегодняшнем новостном сообщении. Как часть этого, системная команда php.net провела аудит каждого сервера, управляемого php.net, и обнаружила, что два сервера были взломаны: сервер, на котором размещены www.php.net, static.php.net и git.php Домены .net и ранее подозревались на основании вредоносной программы JavaScript и сервера, на котором размещается bugs.php.net. Метод, которым были взломаны эти серверы, в настоящее время неизвестен.

Все затронутые сервисы были перенесены с этих серверов. Мы убедились, что наш репозиторий Git не был скомпрометирован, и он остается в режиме только для чтения, так как сервисы полностью восстанавливаются.

Возможно, что злоумышленники получили доступ к закрытому ключу SSL-сертификата php.net, мы немедленно отозвали его. Мы находимся в процессе получения нового сертификата и ожидаем восстановить доступ к сайтам php.net, для которых требуется SSL (включая bugs.php.net и wiki.php.net) в ближайшие несколько часов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .