php.net aparece como sospechoso: visitar este sitio web puede dañar su computadora

28

Cuando accedo a php.net a través de la búsqueda de Google, aparece el siguiente mensaje que dice:

¡El siguiente sitio contiene Malware!

Vea la captura de pantalla adjunta a continuación: ¡El siguiente sitio contiene Malware!

¿Es lo mismo para ustedes? ¿Cómo puedo evitar esto?

¿Significa esto que el sitio ha sido pirateado o atacado por malware?

php search malware onefourone14
fuente
1
Relacionado: news.ycombinator.com/item?id=6603831 productforums.google.com/forum/#!topic/webmasters/puLmvjtK0m8
Bob
2
De acuerdo con este hilo en el foro de webmasters de Google, alguien logró inyectar un iframe en el sitio :) El archivo sospechoso parece correcto ahora, pero los registros muestran que antes contenía código malicioso
onetrickpony
Matt Cutts tuiteó este artículo
Martin Smith

Respuestas:

21

Esto se debe a que Google realizó una verificación regular en el sitio web en los últimos 90 días. Los resultados fueron los siguientes:

De las 1513 páginas que probamos en el sitio durante los últimos 90 días, 4 páginas tuvieron como resultado la descarga e instalación de software malicioso sin el consentimiento del usuario. La última vez que Google visitó este sitio fue el 23/10/2013, y la última vez que se encontró contenido sospechoso en este sitio fue el 23/10/2013.

El software malicioso incluye 4 trojan (s).

El software malicioso está alojado en 4 dominios, incluidos cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 dominios parecen funcionar como intermediarios para distribuir software malicioso a los visitantes de este sitio, incluidos stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Esto probablemente se deba a que las personas están dejando enlaces a estos sitios web en todo momento php.net.

Ash King
fuente
¿Tiene una fuente para la afirmación de que Google etiqueta un sitio como potencialmente dañino solo porque contiene enlaces (que el usuario debe hacer clic deliberadamente) a sitios que alojan software malicioso? Si es cierto, parece un comportamiento increíblemente estúpido que no es útil para el usuario.
Mark Amery
1
El diagnóstico de navegación segura (de donde proviene la cita anterior) también dice " ¿Este sitio ha alojado malware? No, este sitio no ha alojado software malicioso en los últimos 90 días " . Entonces, si Google declara explícitamente que php.net en sí mismo no alojó malware, solo puedo concluir que el malware debe haberse encontrado en sitios vinculados.
marcvangend
Esto suena como una exageración masiva por parte de Google. Espero que lo arreglen pronto porque php.net es una parte crucial de mi trabajo diario.
Shadur
8
"4 páginas resultaron en la descarga e instalación de software malicioso sin el consentimiento del usuario". sin embargo, implica que era más que solo enlaces en las páginas.
Megan Walker
1
@Shadur: Todos confiamos en las referencias, pero si no puedes sobrevivir sin php.net durante unos días, entonces puede ser el momento de entrenar;)
Lightness compite con Monica el
27

Hay más de esto. Hay informes (1100 GMT 2013-10-24) de que los enlaces se han inyectado al Javascript que usa el sitio y, por lo tanto, está pirateado por el momento.

Hasta que escuche de manera diferente, evitaría el sitio. Pronto, todo estará bien, sin duda.

Dizzley
fuente
55
El código inyectado ha sido expuesto aquí: news.ycombinator.com/item?id=6604156
Bob
5

Desde la perspectiva de php.net, parece un falso positivo:

http://php.net/archive/2013.php#id2013-10-24-1

El 24 de octubre de 2013 06:15:39 +0000 Google comenzó a decir que www.php.net alojaba malware. Inicialmente, las Herramientas para webmasters de Google tardaron bastante en mostrar el motivo y cuándo lo hicieron, se parecía mucho a un falso positivo porque teníamos algunos JavaScript minificados / ofuscados que se inyectaban dinámicamente en userprefs.js. Esto también nos pareció sospechoso, pero en realidad fue escrito para hacer exactamente eso, así que estábamos bastante seguros de que era un falso positivo, pero seguimos cavando.

Resultó que al peinar los registros de acceso para static.php.net, periódicamente publicaba userprefs.js con la longitud de contenido incorrecta y luego volvía al tamaño correcto después de unos minutos. Esto se debe a un trabajo cron rsync. Entonces, el archivo se estaba modificando localmente y revertido. El rastreador de Google detectó una de estas pequeñas ventanas donde se estaba sirviendo el archivo incorrecto, pero por supuesto, cuando lo miramos manualmente, se veía bien. Entonces más confusión.

Todavía estamos investigando cómo alguien causó el cambio de ese archivo, pero mientras tanto hemos migrado www / static a nuevos servidores limpios. La prioridad más alta es obviamente la integridad del código fuente y después de un rápido:

git fsck --no-reflog --full --strict

En todos nuestros repositorios, más comprobando manualmente los md5sums de los archivos de distribución PHP, no vemos evidencia de que el código PHP haya sido comprometido. Tenemos un espejo de nuestros repositorios de git en github.com y también verificaremos manualmente las confirmaciones de git y tendremos una autopsia completa de la intrusión cuando tengamos una idea más clara de lo que sucedió.

xiankai
fuente
3
Me parece que la declaración dice que php.net cree que en realidad puede haber sido pirateado. Tenga en cuenta que están haciendo un control de seguridad en todo su código.
Kevin - Restablece a Monica el
4

Última actualización (en el momento de publicar esta respuesta)

http://php.net/archive/2013.php#id2013-10-24-2

Continuamos trabajando a través de las repercusiones del problema de malware php.net descrito en una publicación de noticias el día de hoy. Como parte de esto, el equipo de sistemas de php.net ha auditado todos los servidores operados por php.net, y ha descubierto que dos servidores estaban en peligro: el servidor que alojaba www.php.net, static.php.net y git.php dominios .net , y anteriormente se sospechaba que estaba basado en el malware JavaScript y en el servidor que aloja bugs.php.net . El método por el cual estos servidores se vieron comprometidos es desconocido en este momento.

Todos los servicios afectados se han migrado de esos servidores. Hemos verificado que nuestro repositorio Git no se vio comprometido, y permanece en modo de solo lectura a medida que los servicios vuelven a funcionar por completo.

Como es posible que los atacantes hayan accedido a la clave privada del certificado SSL php.net , la hemos revocado de inmediato. Estamos en el proceso de obtener un nuevo certificado y esperamos restablecer el acceso a los sitios php.net que requieren SSL (incluidos bugs.php.net y wiki.php.net) en las próximas horas.

Adi
fuente