php.net als verdächtig eingestuft - der Besuch dieser Website kann Ihrem Computer Schaden zufügen

28

Wenn ich über die Google-Suche auf php.net zugreife, wird die folgende Meldung angezeigt

Die Website enthält Malware!

Siehe den Screenshot unten: Die Website enthält Malware!

Ist es dasselbe für euch? Wie kann ich das vermeiden?

Bedeutet dies, dass die Website von Malware gehackt oder angegriffen wurde?

php search malware onefourone14
quelle
1
Siehe auch : news.ycombinator.com/item?id=6603831 productforums.google.com/forum/#!topic/webmasters/puLmvjtK0m8
Bob
2
Laut diesem Thread im Google Webmaster-Forum hat es jemand geschafft, einen Iframe in die Site zu injizieren :) Die verdächtige Datei scheint jetzt in
Ordnung zu sein
Matt Cutts hat diesen
Martin Smith

Antworten:

21

Dies liegt daran, dass Google die Website in den letzten 90 Tagen regelmäßig überprüft hat. Die Ergebnisse waren:

Bei 4 Seite (n) von insgesamt 1513 Seiten dieser Website, die wir in den letzten 90 Tagen getestet haben, wurde festgestellt, dass Malware (Schadsoftware) ohne Einwilligung des Nutzers heruntergeladen und installiert wurde. Der letzte Besuch von Google auf dieser Website war am 2013-10-23 und verdächtiger Content wurde auf dieser Website zuletzt am 2013-10-23 gefunden.

Schädliche Software enthält 4 Trojaner.

Die Malware wird in 4 Domain (s) gehostet, darunter cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/

Bei der Verteilung von Malware an Besucher dieser Website fungieren anscheinend 3 Domain (s) als Überträger, darunter stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/

Dies liegt wahrscheinlich daran, dass die Leute durchgehend Links zu diesen Websites hinterlassen php.net.

Ash King
quelle
Haben Sie eine Quelle für die Behauptung, dass Google eine Website als potenziell schädlich einstuft, nur weil sie Links (die vom Nutzer absichtlich angeklickt werden müssen) zu Websites enthält, auf denen schädliche Software gehostet wird? Wenn dies zutrifft, scheint dies ein unglaublich dummes Verhalten zu sein, das für den Benutzer nicht hilfreich ist.
Mark Amery
1
In der Safe-Browsing-Diagnose (aus der das obige Zitat hervorgeht) heißt es auch: " Hat diese Website Malware gehostet? Nein, auf dieser Website wurde in den letzten 90 Tagen keine schädliche Software gehostet. " Schadsoftware kann ich nur schlussfolgern, dass die Schadsoftware auf verlinkten Seiten gefunden worden sein muss.
Marcvangend
Das klingt nach massivem Overkill von Google. Ich hoffe, dass sie das Problem bald beheben, da php.net ein ziemlich wichtiger Bestandteil meines täglichen Jobs ist.
Shadur
8
"4 Seite (n) führten dazu, dass bösartige Software ohne Zustimmung des Benutzers heruntergeladen und installiert wurde." impliziert jedoch, dass es sich um mehr als nur Links auf den Seiten handelte.
Megan Walker
1
@Shadur: Wir alle auf Hinweise stützen, aber wenn Sie nicht dann ohne php.net für ein paar Tage erhalten können , kann es Zeit für etwas Training sein;)
Leichtigkeit Rennen mit Monica
27

Dazu gehört noch mehr. Es gibt Berichte (1100 GMT 2013-10-24), dass die Links in das von der Website verwendete Javascript eingefügt wurden und es daher vorerst gehackt wird.

Solange Sie nichts anderes hören, würde ich die Site meiden. Bald wird alles gut, kein Zweifel.

Dizzley
quelle
5
Der injizierte Code wurde hier veröffentlicht: news.ycombinator.com/item?id=6604156
Bob
6

Und wenn Sie zur Safe Browsing-Diagnoseseite gehen , sehen Sie Folgendes :

Safe Browsing-Diagnoseseite

Um zu unterstreichen:

Diese Website ist derzeit nicht als verdächtig eingestuft.

Sie haben es behoben, als ich diese Antwort gepostet habe.

NobleUplift
quelle
1
Ich habe meinen Beitrag repariert.
NobleUplift
5

Aus der Sicht von php.net selbst scheint es ein falsches Positiv zu sein:

http://php.net/archive/2013.php#id2013-10-24-1

Am 24. Oktober 2013 um 06:15:39 Uhr +0000 Uhr meldet Google, dass www.php.net Malware hostet. Die Google Webmaster-Tools zeigten anfangs erst mit einiger Verzögerung, warum und wann sie dies taten, und sahen sehr nach einem Fehlalarm aus, da in userprefs.js ein minimiertes / verschleiertes Javascript dynamisch eingefügt wurde. Das sah für uns auch verdächtig aus, aber es wurde tatsächlich geschrieben, um genau das zu tun, also waren wir uns ziemlich sicher, dass es ein falsches Positiv war, aber wir gruben weiter.

Es stellte sich heraus, dass durch das Durchsuchen der Zugriffsprotokolle für static.php.net in regelmäßigen Abständen userprefs.js mit der falschen Inhaltslänge bereitgestellt wurden und nach einigen Minuten wieder die richtige Größe erreicht wurde. Dies liegt an einem Rsync-Cron-Job. Die Datei wurde also lokal geändert und zurückgesetzt. Googles Crawler hat eines dieser kleinen Fenster abgefangen, in denen die falsche Datei abgelegt wurde, aber natürlich sah es gut aus, wenn wir es manuell betrachteten. Also mehr Verwirrung.

Wir untersuchen immer noch, wie jemand diese Datei geändert hat, aber in der Zwischenzeit haben wir www / static auf neue saubere Server migriert. Die höchste Priorität hat natürlich die Quellcode-Integrität und nach einer kurzen:

git fsck --no-reflog --full --strict

Auf all unseren Repos und beim manuellen Überprüfen der MD5-Summen der PHP-Distributionsdateien sehen wir keinen Hinweis darauf, dass der PHP-Code kompromittiert wurde. Wir haben einen Spiegel unserer Git-Repos auf github.com und wir werden auch die Git-Commits manuell überprüfen und einen vollständigen Post-Mortem-Bericht über das Eindringen erhalten, wenn wir ein klareres Bild von dem haben, was passiert ist.

xiankai
quelle
3
Mir scheint, die Aussage besagt, dass php.net denkt, es könnte tatsächlich gehackt worden sein. Beachten Sie, dass der gesamte Code einer Sicherheitsüberprüfung unterzogen wird.
Kevin - Wiedereinsetzung von Monica
4

Letztes Update (zum Zeitpunkt der Veröffentlichung dieser Antwort)

http://php.net/archive/2013.php#id2013-10-24-2

Wir arbeiten weiter an den Auswirkungen des heute in einem Nachrichtenbeitrag beschriebenen Problems mit php.net-Malware. Als Teil davon hat das php.net-Systemteam jeden von php.net betriebenen Server überprüft und festgestellt, dass zwei Server kompromittiert wurden: der Server, auf dem sich www.php.net, static.php.net und git.php befanden .net-Domains und wurde zuvor aufgrund der JavaScript-Malware und des Servers, auf dem bugs.php.net gehostet wird, verdächtigt . Die Methode, mit der diese Server gefährdet wurden, ist derzeit nicht bekannt.

Alle betroffenen Dienste wurden von diesen Servern migriert. Wir haben überprüft, dass unser Git-Repository nicht kompromittiert wurde, und es bleibt im schreibgeschützten Modus, da die Dienste vollständig wiederhergestellt werden.

Da die Angreifer möglicherweise auf den privaten Schlüssel des php.net-SSL-Zertifikats zugegriffen haben , haben wir diesen sofort widerrufen. Wir sind dabei, ein neues Zertifikat zu erhalten, und erwarten, in den nächsten Stunden den Zugriff auf php.net-Sites wiederherzustellen, die SSL erfordern (einschließlich bugs.php.net und wiki.php.net).

Adi
quelle