php.net terdaftar sebagai mencurigakan - mengunjungi situs web ini dapat membahayakan komputer Anda

28

Ketika saya mengakses php.net melalui pencarian Google saya mendapatkan pesan berikut mengatakan

Situs Web Di Depan Mengandung Malware!

Lihat tangkapan layar yang terlampir di bawah ini: Situs Web Di Depan Mengandung Malware!

Apakah sama untuk kalian? Bagaimana saya bisa menghindari ini?

Apakah ini berarti situs telah diretas atau diserang oleh malware?

php search malware onefourone14
sumber
1
Terkait: news.ycombinator.com/item?id=6603831 productforums.google.com/forum/#!topic/webmasters/puLmvjtK0m8
Bob
2
Menurut utas ini di forum webmaster Google, seseorang berhasil menyuntikkan iframe ke situs :) File yang mencurigakan tampaknya baik-baik saja sekarang, tetapi log menunjukkan bahwa itu berisi kode berbahaya sebelumnya
onetrickpony
Matt Cutts tweeted ini menulis
Martin Smith

Jawaban:

21

Ini karena Google melakukan pemeriksaan rutin pada situs web dalam 90 hari terakhir. Hasilnya adalah ini:

Dari 1513 halaman yang kami uji di situs selama 90 hari terakhir, 4 halaman mengakibatkan perangkat lunak berbahaya diunduh dan diinstal tanpa persetujuan pengguna. Google terakhir kali mengunjungi situs ini pada 2013-10-23, dan konten mencurigakan terakhir kali ditemukan di situs ini pada 2013-10-23.

Perangkat lunak berbahaya mencakup 4 trojan (s).

Perangkat lunak berbahaya di-host di 4 domain, termasuk cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domain tampaknya berfungsi sebagai perantara penyebaran malware ke pengunjung situs ini, termasuk stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Ini mungkin karena orang meninggalkan tautan ke situs web ini di seluruh php.net.

Raja Ash
sumber
Apakah Anda memiliki sumber untuk klaim bahwa Google memberi label situs sebagai berpotensi berbahaya hanya karena mengandung tautan (yang harus diklik dengan sengaja oleh pengguna) ke situs yang meng-hosting perangkat lunak berbahaya? Jika benar, itu sepertinya perilaku yang sangat bodoh yang tidak membantu pengguna.
Mark Amery
1
The penjelajahan aman diagnostik (dari mana kutipan di atas datang) juga mengatakan " Apakah situs ini telah menginangi perangkat lunak jahat? Tidak, situs ini tidak menginangi perangkat lunak berbahaya selama 90 hari terakhir. " Jadi, jika Google secara eksplisit menyatakan bahwa php.net sendiri tidak tuan rumah malware, saya hanya bisa menyimpulkan bahwa malware itu pasti sudah ditemukan di situs yang tertaut.
marcvangend
Ini terdengar seperti pembunuhan besar- besaran di pihak Google. Saya berharap mereka memperbaikinya segera karena php.net adalah bagian yang cukup penting dari pekerjaan saya sehari-hari.
Shadur
8
"4 halaman mengakibatkan perangkat lunak berbahaya diunduh dan diinstal tanpa persetujuan pengguna." menyiratkan bahwa itu lebih dari sekadar tautan di laman.
Megan Walker
1
@ Shadur: Kita semua bergantung pada referensi, tetapi jika Anda tidak dapat bertahan tanpa php.net selama beberapa hari maka mungkin saatnya untuk pelatihan;)
Lightness Races with Monica
27

Masih ada lagi untuk ini. Ada laporan (1100 GMT 2013-10-24) bahwa tautan telah disuntikkan ke Javascript yang digunakan situs dan karenanya diretas untuk saat ini.

Sampai Anda mendengarnya secara berbeda, saya akan menghindari situs tersebut. Segera - semua akan baik-baik saja, tidak diragukan lagi.

Dizzley
sumber
5
Kode yang disuntikkan telah diekspos di sini: news.ycombinator.com/item?id=6604156
Bob
6

Dan jika Anda pergi ke halaman diagnostik Penjelajahan Aman , Anda dapat melihat bahwa:

Halaman diagnostik Penjelajahan Aman

Untuk menggarisbawahi:

Situs ini saat ini tidak terdaftar sebagai mencurigakan.

Mereka memperbaikinya saat saya memposting jawaban ini.

NobleUplift
sumber
1
Saya telah memperbaiki posting saya.
NobleUplift
5

Dari perspektif php.net itu sendiri, sepertinya false positive:

http://php.net/archive/2013.php#id2013-10-24-1

Pada 24 Oktober 2013 06:15:39 +0000 Google mulai mengatakan www.php.net menjadi hosting malware. Google Webmaster Tools pada awalnya agak tertunda dalam menunjukkan alasan mengapa dan ketika mereka melakukannya tampak sangat positif palsu karena kami memiliki beberapa javascript yang diperkecil / dikaburkan yang secara dinamis disuntikkan ke dalam userprefs.js. Ini tampak mencurigakan bagi kami juga, tetapi sebenarnya ditulis untuk melakukan hal itu sehingga kami cukup yakin itu adalah positif palsu, tetapi kami terus menggali.

Ternyata dengan menyisir log akses untuk static.php.net secara berkala melayani userprefs.js dengan panjang konten yang salah dan kemudian kembali ke ukuran yang tepat setelah beberapa menit. Ini karena pekerjaan cs rsync. Jadi file itu sedang dimodifikasi secara lokal dan dikembalikan. Perayap Google menangkap salah satu jendela kecil ini di mana file yang salah disajikan, tetapi tentu saja, ketika kami melihatnya secara manual itu tampak baik-baik saja. Jadi lebih banyak kebingungan.

Kami masih menyelidiki bagaimana seseorang menyebabkan file itu diubah, tetapi sementara itu kami telah memigrasi www / statis ke server bersih baru. Prioritas tertinggi jelas adalah integritas kode sumber dan setelah beberapa saat:

git fsck --no-reflog --full --strict

pada semua repo kami dan memeriksa secara manual md5sums dari file distribusi PHP, kami tidak melihat bukti bahwa kode PHP telah dikompromikan. Kami memiliki cermin dari repositori git kami di github.com dan kami akan secara manual memeriksa komit juga dan memiliki post-mortem penuh tentang intrusi ketika kami memiliki gambaran yang lebih jelas tentang apa yang terjadi.

xiankai
sumber
3
Menurut saya pernyataan itu mengatakan bahwa php.net berpikir bahwa itu mungkin telah diretas. Perhatikan bahwa mereka sedang melakukan pemeriksaan keamanan pada semua kode mereka.
Kevin - Reinstate Monica
4

Pembaruan terbaru (pada saat memposting jawaban ini)

http://php.net/archive/2013.php#id2013-10-24-2

Kami terus bekerja melalui dampak dari masalah malware php.net yang dijelaskan dalam posting berita sebelumnya hari ini. Sebagai bagian dari ini, tim sistem php.net telah mengaudit setiap server yang dioperasikan oleh php.net, dan telah menemukan bahwa dua server dikompromikan: server yang menampung www.php.net, static.php.net, dan git.php domain .net , dan sebelumnya diduga berdasarkan pada malware JavaScript, dan server hosting bugs.php.net . Metode di mana server ini dikompromikan tidak diketahui saat ini.

Semua layanan yang terpengaruh telah dimigrasikan dari server itu. Kami telah memverifikasi bahwa repositori Git kami tidak dikompromikan, dan tetap dalam mode hanya baca karena layanan dibawa kembali secara penuh.

Karena penyerang mungkin telah mengakses kunci pribadi sertifikat SSL php.net , kami telah segera mencabutnya. Kami sedang dalam proses mendapatkan sertifikat baru, dan berharap untuk mengembalikan akses ke situs-situs php.net yang memerlukan SSL (termasuk bugs.php.net dan wiki.php.net) dalam beberapa jam ke depan.

Adi
sumber