web-dev-qa-db-ja.com

疑わしいと記載されているphp.net-このWebサイトにアクセスすると、コンピューターに損害を与える可能性があります

Google検索でphp.netにアクセスすると、次のメッセージが表示されます。

先のWebサイトにはマルウェアが含まれています!

以下に添付されているスクリーンショットを参照してください:The Website Ahead Contains Malware!

皆さんも同じですか?どうすればこれを回避できますか?

これは、サイトがマルウェアによってハッキングまたは攻撃されたことを意味しますか?

phpsearchmalware
28
onefourone14

これは、Googleが過去90日間にウェブサイトで定期的なチェックを行ったためです。結果は次のとおりです。

過去90日間にサイトでテストした1513ページのうち、4ページの結果、ユーザーの同意なしに悪意のあるソフトウェアがダウンロードおよびインストールされました。 Googleがこのサイトに最後にアクセスしたのは2013-10-23で、このサイトで疑わしいコンテンツが最後に見つかったのは2013-10-23でした。

悪意のあるソフトウェアには、4つのトロイの木馬が含まれています。

悪意のあるソフトウェアは、cobbcountybankruptcylawyer.com /、stephaniemari.com /、northgadui.com/を含む4つのドメインでホストされています。

stephaniemari.com/、northgadui.com/、satnavreviewed.co.uk/を含む3つのドメインが、このサイトの訪問者にマルウェアを配布するための仲介者として機能しているようです。

これはおそらく、人々がphp.net全体でこれらのWebサイトへのリンクを残しているためです。

21
Ash King

これにはまだまだあります。サイトが使用するJavascriptにリンクが挿入されたため、当面の間ハッキングされたという報告(1100 GMT 2013-10-24)があります。

別の言い方をするまで、私はそのサイトを避けます。すぐに-すべてが間違いなくうまくいくでしょう。

27
Dizzley

そして、 セーフブラウジング診断ページ に移動すると、次のことがわかります。

Safe Browsing diagnostics page

強調するには:

このサイトは現在疑わしいものとしてリストされていません。

私がこの回答を投稿したときに彼らはそれを修正しました。

6
NobleUplift

Php.net自体の観点からは、誤検知のように見えます。

http://php.net/archive/2013.php#id2013-10-24-1

2013年10月24日06:15:39 + 0000 Googleは、www.php.netがマルウェアをホストしていると言い始めました。 Googleウェブマスターツールは、userprefs.jsに動的に挿入された縮小/難読化されたJavaScriptがあったため、最初は理由と表示が非常に遅れて誤検知のように見えました。これは私たちにも疑わしいように見えましたが、実際にはそれを正確に行うように書かれているため、誤検知であると確信していましたが、掘り下げ続けました。

Static.php.netのアクセスログを調べると、定期的にuserprefs.jsが間違ったコンテンツ長で提供され、数分後に正しいサイズに戻っていたことが判明しました。これは、rsynccronジョブが原因です。そのため、ファイルはローカルで変更され、元に戻されていました。 Googleのクローラーは、間違ったファイルが提供されていたこれらの小さなウィンドウの1つをキャッチしましたが、もちろん、手動で見ると問題なく見えました。だからもっと混乱。

誰かがそのファイルをどのように変更したかについてはまだ調査中ですが、その間にwww/staticを新しいクリーンサーバーに移行しました。最優先事項は、明らかにソースコードの整合性であり、

git fsck --no-reflog --full --strict

すべてのリポジトリに加えて、PHP配布ファイルのmd5sumsを手動でチェックすると、PHPコードが侵害されたという証拠は見られません。 github.comのgitリポジトリ。手動でgitcommitもチェックし、何が起こったのかが明確になったら、侵入について完全な事後分析を行います。

5
xiankai

最新の更新(この回答を投稿した時点)

http://php.net/archive/2013.php#id2013-10-24-2

私たちは、本日のニュース投稿で説明されているphp.netマルウェアの問題の影響に引き続き取り組んでいます。この一環として、php.netシステムチームはphp.netが運営するすべてのサーバーを監査し、2つのサーバーが侵害されていることを発見しました:www.php.netをホストするサーバーstatic.php.netおよびgit.php.netドメインであり、以前はJavaScriptマルウェアおよびbugs.php.netをホストしているサーバーに基づいて疑われていました。 。現時点では、これらのサーバーが侵害された方法は不明です。

影響を受けるすべてのサービスは、これらのサーバーから移行されました。 Gitリポジトリが侵害されていないことを確認しました。サービスが完全に復旧しても、読み取り専用モードのままです。

攻撃者がphp.net SSL証明書の秘密鍵にアクセスした可能性があるため、すぐに取り消しました。現在、新しい証明書を取得中であり、SSLを必要とするphp.netサイト(bugs.php.netおよびwiki.php.netを含む)へのアクセスを数時間以内に復元する予定です。

4
Adi