php.net को संदिग्ध के रूप में सूचीबद्ध किया गया है - इस वेब साइट पर जाकर आपके कंप्यूटर को नुकसान पहुंचा सकता है

28

जब मैं Google खोज के माध्यम से php.net का उपयोग करता हूं तो मुझे निम्नलिखित संदेश मिलता है

आगे वेबसाइट में मालवेयर है!

नीचे संलग्न स्क्रीनशॉट देखें: आगे वेबसाइट में मालवेयर है!

क्या आप लोगों के लिए भी ऐसा ही है? इससे कैसे बचा जा सकता है?

क्या इसका मतलब यह है कि साइट को हैक किया गया है या मैलवेयर द्वारा हमला किया गया है?

php  search  malware 
onefourone14
स्रोत
1
Bob
2
Google के वेबमास्टर फ़ोरम पर इस थ्रेड के अनुसार , कोई व्यक्ति साइट में एक iframe इंजेक्षन करने में कामयाब रहा :) संदिग्ध फ़ाइल अब ठीक लगती है, लेकिन लॉग दिखाता है कि यह पहले दुर्भावनापूर्ण कोड से युक्त था
onetrickpony
मैट कट्स ने इस पर
मार्टिन स्मिथ

जवाबों:

21

ऐसा इसलिए है क्योंकि पिछले 90 दिनों में Google ने वेबसाइट पर एक नियमित जांच की। परिणाम इस प्रकार थे:

पिछले १३ दिनों में हमने १५१३ पृष्ठों की साइट पर परीक्षण किया, ४ पेज (पेजों) में दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड किए गए और उपयोगकर्ता की सहमति के बिना स्थापित किए गए। पिछली बार जब Google ने इस साइट का दौरा किया था तो वह 2013-10-23 को था, और अंतिम बार इस साइट पर संदिग्ध सामग्री 2013-10-23 को मिली थी।

दुर्भावनापूर्ण सॉफ़्टवेयर में 4 ट्रोजन (एस) शामिल हैं।

दुर्भावनापूर्ण सॉफ़्टवेयर को 4 डोमेन (s) पर होस्ट किया जाता है, जिसमें cobbcountybankruptcylawyer.com/, stephaniemari.com/, Northgadui.com/ शामिल हैं।

इस साइट के आगंतुकों को मैलवेयर वितरित करने के लिए 3 डोमेन (एस) मध्यस्थ के रूप में कार्य करते हुए दिखाई देते हैं, जिनमें स्टेफनीमेरी.com/, Northgadui.com/, satnavreviewed.co.uk/ शामिल हैं।

यह शायद इसलिए है क्योंकि लोग इन वेबसाइटों के लिंक पूरे भर में छोड़ रहे हैं php.net

ऐश राजा
स्रोत
क्या आपके पास इस दावे के लिए कोई स्रोत है कि Google किसी साइट को संभावित रूप से हानिकारक के रूप में लेबल करता है क्योंकि इसमें दुर्भावनापूर्ण सॉफ़्टवेयर होस्ट करने वाली साइटों के लिंक (जो उपयोगकर्ता द्वारा जानबूझकर क्लिक किए जाने हैं) हैं? यदि सच है, तो यह अविश्वसनीय रूप से मूर्ख व्यवहार की तरह लगता है जो उपयोगकर्ता के लिए सहायक नहीं है।
मार्क अमेरी
1
सुरक्षित ब्राउज़िंग निदान (जिसमें से उद्धरण से ऊपर आया) भी कहते हैं, " इस साइट मैलवेयर होस्ट किया है? नहीं, इस साइट नहीं दुर्भावनापूर्ण सॉफ़्टवेयर पिछले 90 दिनों में मेजबानी की है। " तो अगर गूगल स्पष्ट रूप से कहा गया है कि php.net खुद की मेजबानी नहीं की थी मैलवेयर, मैं केवल यह निष्कर्ष निकाल सकता हूं कि लिंक किए गए साइटों पर मैलवेयर पाया गया होगा।
marcvangend
यह लगता है कि गूगल के हिस्से पर भारी ओवरकिल है। मुझे आशा है कि वे इसे जल्द ही ठीक कर देंगे क्योंकि php.net मेरी दैनिक नौकरी का एक बहुत महत्वपूर्ण हिस्सा है।
शादुर
8
"4 पृष्ठ (एस) के परिणामस्वरूप दुर्भावनापूर्ण सॉफ़्टवेयर डाउनलोड किया गया और उपयोगकर्ता की सहमति के बिना स्थापित किया गया।" तात्पर्य यह है कि यह पृष्ठों पर सिर्फ लिंक से अधिक था।
मेगन वॉकर
1
@ बहादुर: हम सभी संदर्भों पर भरोसा करते हैं, लेकिन अगर आप कुछ दिनों के लिए php.net के बिना नहीं मिल सकते हैं, तो यह कुछ प्रशिक्षण के लिए समय हो सकता है;)
ऑर्बिट में हल्की दौड़
27

इसमें और भी बहुत कुछ है। ऐसी रिपोर्टें हैं (1100 GMT 2013-10-24) कि लिंक जावास्क्रिप्ट का उपयोग करता है जिसे साइट उपयोग करती है और इसलिए इसे समय के लिए हैक कर लिया जाता है।

जब तक आप अलग तरह से नहीं सुनेंगे, मैं साइट से बचूंगा। जल्द ही - सभी अच्छी तरह से कोई संदेह नहीं होगा।

Dizzley
स्रोत
5
इंजेक्ट कोड यहाँ उजागर किया गया है: news.ycombinator.com/item?id=6604156
Bob
6

और यदि आप सुरक्षित ब्राउज़िंग निदान पृष्ठ पर जाते हैं , तो आप यह देख सकते हैं:

सुरक्षित ब्राउजिंग डायग्नोस्टिक्स पेज

अंडरस्कोर करने के लिए:

यह साइट फ़िलहाल संदेहजनक के तौर पर सूचीबद्ध नहीं है।

जब मैंने यह उत्तर पोस्ट किया तो उन्होंने इसे ठीक कर लिया।

NobleUplift
स्रोत
1
मैंने अपनी पोस्ट ठीक कर ली है।
नोबल उत्थान
5

खुद php.net के नजरिए से, यह एक झूठी सकारात्मक की तरह लगता है:

http://php.net/archive/2013.php#id2013-10-24-1

24 अक्टूबर 2013 को 06:15:39 +0000 Google ने यह कहना शुरू किया कि www.php.net मैलवेयर की मेजबानी कर रहा था। Google वेबमास्टर टूल को शुरू में इस कारण को दिखाने में काफी देरी हुई कि उन्होंने ऐसा क्यों और कब किया, यह एक झूठे सकारात्मक की तरह लग रहा था क्योंकि हमारे पास कुछ मिनिफ़ाइंड / ऑबफसकेटेड जावास्क्रिप्ट है जो कि उपयोगकर्ता के रूप में सक्रिय रूप से इंजेक्ट किया जा रहा है। यह हमारे लिए भी संदेहास्पद लग रहा था, लेकिन वास्तव में ऐसा करने के लिए लिखा गया था, इसलिए हम निश्चित थे कि यह एक गलत सकारात्मक था, लेकिन हम खुदाई कर रहे थे।

यह पता चला है कि static.php.net के एक्सेस लॉग के माध्यम से कंघी करके यह समय-समय पर उपयोगकर्ता की गलत सामग्री की लंबाई के साथ userprefs.js की सेवा कर रहा है और फिर कुछ मिनटों के बाद सही आकार में वापस लौट रहा है। यह एक rsync क्रोन जॉब के कारण है। इसलिए फ़ाइल को स्थानीय रूप से संशोधित किया जा रहा था और वापस लाया जा रहा था। Google के क्रॉलर ने इन छोटी खिड़कियों में से एक को पकड़ा जहां गलत फ़ाइल परोसी जा रही थी, लेकिन निश्चित रूप से, जब हमने इसे मैन्युअल रूप से देखा तो यह ठीक लगा। तो और भ्रम।

हम अभी भी जांच कर रहे हैं कि किसी ने उस फ़ाइल को कैसे बदला है, लेकिन इस बीच हमने www / स्टेटिक को नए स्वच्छ सर्वरों में स्थानांतरित कर दिया है। सर्वोच्च प्राथमिकता स्पष्ट रूप से स्रोत कोड अखंडता और एक त्वरित के बाद है:

git fsck --no-reflog --full --strict

हमारे सभी रिपॉज प्लस पर PHP वितरण फाइलों के md5sums को मैन्युअल रूप से जांचते हुए हम देखते हैं कि कोई भी सबूत नहीं है कि PHP कोड से समझौता किया गया है। हमारे पास gitub.com पर हमारे git repos का दर्पण है और हम मैन्युअल रूप से git कमिट्स की जांच करेंगे और घुसपैठ की पूरी पोस्टमार्टम करेंगे, जब हमारे पास स्पष्ट तस्वीर होगी।

xiankai
स्रोत
3
यह मुझे लग रहा है जैसे कथन php.net कह रहा है कि यह वास्तव में हैक किया गया हो सकता है। ध्यान दें कि वे अपने सभी कोड पर सुरक्षा जांच कर रहे हैं।
केविन
4

नवीनतम अपडेट (इस उत्तर को पोस्ट करने के समय)

http://php.net/archive/2013.php#id2013-10-24-2

हम आज पहले एक समाचार पोस्ट में वर्णित php.net मैलवेयर मुद्दे के नतीजों के माध्यम से काम करना जारी रख रहे हैं। इस के भाग के रूप में, php.net सिस्टम टीम ने php.net द्वारा संचालित हर सर्वर का ऑडिट किया है, और पाया है कि दो सर्वरों में समझौता किया गया था: सर्वर जिसने www.php.net, static.php.net और git.php को होस्ट किया था। .net डोमेन , और पहले जावास्क्रिप्ट मैलवेयर पर आधारित शक किया गया था, और bugs.php.net की मेजबानी करने वाला सर्वर । जिस विधि से इन सर्वरों का समझौता किया गया था वह इस समय अज्ञात है।

सभी प्रभावित सेवाओं को उन सर्वरों से माइग्रेट कर दिया गया है। हमने सत्यापित किया है कि हमारी Git रिपॉजिटरी से समझौता नहीं किया गया था, और यह केवल मोड में ही रहती है क्योंकि सेवाओं को पूर्ण रूप से वापस लाया जाता है।

जैसा कि यह संभव है कि हमलावरों ने php.net SSL प्रमाणपत्र की निजी कुंजी को एक्सेस किया हो , हमने इसे तुरंत रद्द कर दिया है। हम एक नया प्रमाण पत्र प्राप्त करने की प्रक्रिया में हैं, और अगले कुछ घंटों में SSL (Bugs.php.net और wiki.php.net सहित) की आवश्यकता वाले php.net साइटों तक पहुंच बहाल करने की उम्मीद करते हैं।

आदि
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.