php.net répertorié comme suspect - la visite de ce site Web peut endommager votre ordinateur

28

Lorsque j'accède à php.net via la recherche Google, je reçois le message suivant disant

Le site Web à venir contient des logiciels malveillants!

Voir la capture d'écran ci-dessous: Le site Web à venir contient des logiciels malveillants!

Est-ce la même chose pour vous? Comment puis-je éviter ça?

Est-ce à dire que le site a été piraté ou attaqué par un malware?

onefourone14
la source
2
Selon ce fil sur le forum des webmasters de Google, quelqu'un a réussi à injecter un iframe dans le site :) Le fichier suspect semble correct maintenant, mais les journaux montrent qu'il contenait du code malveillant avant
onetrickpony
Matt Cutts a tweeté cet article
Martin Smith

Réponses:

21

En effet, Google a effectué une vérification régulière du site Web au cours des 90 derniers jours. Voici les résultats:

Sur les 1513 pages du site que nous avons testées au cours des 90 derniers jours, un certain nombre (4) entraînait le téléchargement et l'installation de logiciels malveillants sans l'autorisation de l'utilisateur. La dernière visite effectuée par le robot Google sur ce site a eu lieu le 2013-10-23, et le dernier contenu suspect sur celui-ci a été détecté le 2013-10-23.

Un logiciel malveillant comprend 4 cheval de Troie.

Les logiciels malveillants sont hébergés sur 4 domaine (s), y compris cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domaine (s) semble (nt) servir d'intermédiaire pour distribuer des logiciels malveillants aux visiteurs de ce site, notamment stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

C'est probablement parce que les gens laissent des liens vers ces sites Web partout php.net.

Ash King
la source
Avez-vous une source pour affirmer que Google qualifie un site de potentiellement dangereux simplement parce qu'il contient des liens (sur lesquels l'utilisateur doit cliquer délibérément) vers des sites hébergeant des logiciels malveillants? Si c'est vrai, cela semble être un comportement incroyablement stupide qui n'est pas utile pour l'utilisateur.
Mark Amery
1
Le diagnostic de navigation sécurisée (d'où provient la citation ci-dessus) indique également: " Ce site a-t-il hébergé des logiciels malveillants? Non, ce site n'a pas hébergé de logiciels malveillants au cours des 90 derniers jours. " Donc, si Google déclare explicitement que php.net lui-même n'a pas hébergé malware, je ne peux que conclure que le malware doit avoir été trouvé sur des sites liés.
marcvangend
Cela ressemble à une surpuissance massive de la part de Google. J'espère qu'ils le corrigeront bientôt car php.net est une partie assez cruciale de mon travail quotidien.
Shadur
8
"4 page (s) ont entraîné le téléchargement et l'installation de logiciels malveillants sans le consentement de l'utilisateur." implique cependant qu'il s'agissait bien plus que de simples liens sur les pages.
Megan Walker
1
@Shadur: Nous comptons tous sur des références, mais si vous ne pouvez pas vous passer de php.net pendant quelques jours, il est peut-être temps de vous entraîner;)
Courses de légèreté avec Monica
27

Il y a plus à cela. Il existe des rapports (1100 GMT 2013-10-24) selon lesquels les liens ont été injectés vers le Javascript utilisé par le site et il est donc piraté pour le moment.

Jusqu'à ce que vous entendiez différemment, j'éviterais le site. Bientôt - tout ira bien sans aucun doute.

Dizzley
la source
5
Le code injecté a été exposé ici: news.ycombinator.com/item?id=6604156
Bob
6

Et si vous allez sur la page de diagnostic de la navigation sécurisée , vous pouvez voir que:

Page de diagnostic de la navigation sécurisée

Pour souligner:

Ce site n'est actuellement pas répertorié comme suspect.

Ils l'ont corrigé lorsque j'ai posté cette réponse.

NobleUplift
la source
1
J'ai corrigé mon message.
NobleUplift
5

Du point de vue de php.net lui-même, cela semble être un faux positif:

http://php.net/archive/2013.php#id2013-10-24-1

Le 24 octobre 2013 06:15:39 +0000 Google a commencé à dire que www.php.net hébergeait des logiciels malveillants. Les outils pour les webmasters de Google ont initialement été très tardifs à montrer pourquoi et quand ils l'ont fait, cela ressemblait beaucoup à un faux positif, car nous avions du javascript minifié / obscurci injecté dynamiquement dans userprefs.js. Cela nous a semblé suspect aussi, mais il était en fait écrit pour faire exactement cela, donc nous étions tout à fait certains que c'était un faux positif, mais nous avons continué à creuser.

Il s'est avéré qu'en parcourant les journaux d'accès pour static.php.net, il servait périodiquement userprefs.js avec la mauvaise longueur de contenu, puis revenait à la bonne taille après quelques minutes. Cela est dû à un travail cron rsync. Le fichier était donc modifié localement et rétabli. Le robot d'exploration de Google a détecté l'une de ces petites fenêtres où le mauvais fichier était servi, mais bien sûr, lorsque nous l'avons examiné manuellement, il semblait bien. Donc plus de confusion.

Nous étudions toujours comment quelqu'un a provoqué la modification de ce fichier, mais en attendant, nous avons migré www / static vers de nouveaux serveurs propres. La plus haute priorité est évidemment l'intégrité du code source et après un rapide:

git fsck - no-reflog --full --strict

sur tous nos référentiels et en vérifiant manuellement les sommes moyennes des fichiers de distribution PHP, nous ne voyons aucune preuve que le code PHP a été compromis. Nous avons un miroir de nos git repos sur github.com et nous vérifierons également manuellement les commits git et aurons un post-mortem complet sur l'intrusion lorsque nous aurons une image plus claire de ce qui s'est passé.

xiankai
la source
3
Il me semble que la déclaration dit que php.net pense qu'il a peut-être été piraté. Notez qu'ils effectuent un contrôle de sécurité sur l'ensemble de leur code.
Kevin - Rétablir Monica
4

Dernière mise à jour (au moment de publier cette réponse)

http://php.net/archive/2013.php#id2013-10-24-2

Nous continuons de travailler sur les répercussions du problème de malware php.net décrit dans un article de presse plus tôt dans la journée. Dans le cadre de cela, l'équipe des systèmes php.net a vérifié tous les serveurs exploités par php.net et a constaté que deux serveurs étaient compromis: le serveur qui hébergeait www.php.net, static.php.net et git.php domaines .net , et était précédemment suspecté sur la base du malware JavaScript et du serveur hébergeant bugs.php.net . La méthode par laquelle ces serveurs ont été compromis est inconnue pour le moment.

Tous les services concernés ont été migrés depuis ces serveurs. Nous avons vérifié que notre référentiel Git n'était pas compromis, et il reste en mode lecture seule au fur et à mesure que les services sont entièrement rétablis.

Comme il est possible que les attaquants aient accédé à la clé privée du certificat SSL php.net , nous l'avons immédiatement révoquée. Nous sommes en train d'obtenir un nouveau certificat, et nous prévoyons de restaurer l'accès aux sites php.net qui nécessitent SSL (y compris bugs.php.net et wiki.php.net) dans les prochaines heures.

Adi
la source