php.net listado como suspeito - visitar este site pode danificar seu computador


28

Quando acesso php.net através da pesquisa no Google, recebo a seguinte mensagem dizendo

O site adiante contém malware!

Veja a captura de tela anexada abaixo: O site adiante contém malware!

É o mesmo para vocês? Como posso evitar isso?

Isso significa que o site foi invadido ou atacado por malware?



2
De acordo com esta discussão no forum do webmaster do Google, alguém conseguiu injetar um iframe no local :) O arquivo suspeito parece ok agora, mas os registros mostram que ela estava contendo códigos maliciosos antes
onetrickpony

Matt Cutts twittou esta gravação
Martin Smith

Respostas:


21

Isso ocorre porque o Google realizou uma verificação regular no site nos últimos 90 dias. Os resultados foram os seguintes:

Das 1513 páginas testadas no site nos últimos 90 dias, 4 página (s) resultaram em software malicioso sendo baixado e instalado sem o consentimento do usuário. O Google visitou este site pela última vez em 23/10/2013, e a última vez que se detectou conteúdo suspeito foi em 23/10/2013.

O software malicioso inclui 4 cavalos de Troia.

O software malicioso está hospedado em 4 domínios, incluindo cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domínios parecem estar funcionando como intermediários na distribuição de malwares aos visitantes deste site, incluindo stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Isso provavelmente ocorre porque as pessoas estão deixando links para esses sites por toda parte php.net.


Você tem uma fonte para a alegação de que o Google rotula um site como potencialmente prejudicial apenas porque contém links (que precisam ser clicados deliberadamente pelo usuário) para sites que hospedam software malicioso? Se for verdade, isso parece um comportamento incrivelmente estúpido que não é útil para o usuário.
Mark Amery

11
O diagnóstico de navegação segura (de onde veio a citação acima) também diz " Este site hospedou malware? Não, este site não hospedou software malicioso nos últimos 90 dias " . Portanto, se o Google declarar explicitamente que o próprio php.net não hospedou malware, só posso concluir que o malware deve ter sido encontrado em sites vinculados.
marcvangend

Isso soa como um exagero maciço da parte do Google. Espero que eles consertem isso logo, porque o php.net é uma parte crucial do meu trabalho diário.
Shadur

8
"4 página (s) resultou em software malicioso sendo baixado e instalado sem o consentimento do usuário." implica que eram mais do que apenas links nas páginas.
Megan Walker

11
@Shadur: Todos nós confiamos em referências, mas se você não conseguir passar sem o php.net por alguns dias, pode ser que seja hora de algum treinamento;)
Lightness Races with Monica

27

Há mais do que isso. Há relatos (1100 GMT 2013-10-24) de que os links foram injetados no Javascript que o site usa e, portanto, são hackeados por enquanto.

Até você ouvir de maneira diferente, eu evitaria o site. Em breve - tudo ficará bem, sem dúvida.


5
O código injetado foi exposto aqui: news.ycombinator.com/item?id=6604156
Bob


5

Da perspectiva do próprio php.net, parece um falso positivo:

http://php.net/archive/2013.php#id2013-10-24-1

Em 24 de outubro de 2013 06:15:39 +0000, o Google começou a dizer que www.php.net estava hospedando malware. As Ferramentas do Google para webmasters demoraram a mostrar o motivo e, quando o fizeram, pareciam um falso positivo porque tínhamos algum javascript minificado / ofuscado sendo injetado dinamicamente no userprefs.js. Isso parecia suspeito para nós também, mas na verdade foi escrito para fazer exatamente isso, então estávamos certos de que era um falso positivo, mas continuamos cavando.

Descobriu-se que, vasculhando os logs de acesso para o static.php.net, periodicamente servia o userprefs.js com o tamanho do conteúdo errado e, em seguida, voltava ao tamanho certo após alguns minutos. Isso ocorre devido a um trabalho cron do rsync. Portanto, o arquivo estava sendo modificado localmente e revertido. O rastreador do Google pegou uma dessas pequenas janelas em que o arquivo errado estava sendo exibido, mas é claro que, quando o analisamos manualmente, ele parecia bem. Tão mais confusão.

Ainda estamos investigando como alguém fez com que esse arquivo fosse alterado, mas, enquanto isso, migramos o www / static para novos servidores limpos. A prioridade mais alta é obviamente a integridade do código-fonte e após uma rápida:

git fsck - no-reflog --full --strict

em todos os nossos repositórios, além de verificar manualmente os md5sums dos arquivos de distribuição PHP, não vemos nenhuma evidência de que o código PHP tenha sido comprometido. Temos um espelho de nossos repositórios git no github.com e também verificamos manualmente os commits git e temos um post-mortem completo sobre a intrusão quando tivermos uma imagem mais clara do que aconteceu.


3
Parece-me que a declaração está dizendo que o php.net pensa que pode ter sido realmente hackeado. Observe que eles estão fazendo uma verificação de segurança em todo o código.
Kevin - Restabelece Monica

4

Atualização mais recente (no momento da publicação desta resposta)

http://php.net/archive/2013.php#id2013-10-24-2

Continuamos a trabalhar com as repercussões do problema de malware do php.net descritas em uma publicação hoje. Como parte disso, a equipe de sistemas do php.net auditou todos os servidores operados pelo php.net e descobriu que dois servidores estavam comprometidos: o servidor que hospedava o www.php.net, static.php.net e git.php domínios .net e anteriormente era suspeito com base no malware JavaScript e no servidor que hospeda o bugs.php.net . O método pelo qual esses servidores foram comprometidos é desconhecido no momento.

Todos os serviços afetados foram migrados desses servidores. Verificamos que nosso repositório Git não foi comprometido e permanece no modo somente leitura, pois os serviços são restaurados na íntegra.

Como é possível que os invasores tenham acessado a chave privada do certificado SSL do php.net , nós a revogamos imediatamente. Estamos no processo de obtenção de um novo certificado e esperamos restaurar o acesso aos sites php.net que requerem SSL (incluindo bugs.php.net e wiki.php.net) nas próximas horas.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.