Официальный сайт PHP попал в список ресурсов, распространяющих вредоносное ПО

Официальный сайт языка программирования PHP - www.php.net, несколько часов назад занесён в список блокируемых сайтов, представляющих угрозу безопасности пользователей. При попытке открытия сайта в браузерах, использующих список блокировки Google, в том числе в Firefox и Chrome, отныне выводится предупреждение о наличии на сайте вредоносного ПО. Аналогичное предупреждение выводится в поисковой выдаче Google.

В качестве причины блокирования упоминается наличие на четырёх страницах сайта троянских вставок, используемых для установки вредоносного ПО на системы пользователей. Представители проекта PHP заявили, что вредоносных вставок на сайте найти не удалось и блокировка является ложным срабатыванием анализатора Google. В частности, файл http://php.net/userprefs.js, в котором по данным сервиса Google для web-мастеров находится вредоносный код, является простейшим скриптом, в котором даже не первый взгляд не может быть ничего опасного.

Тем не менее, некоторые пользователи подтвердили наличие дополнительного кода в конце userprefs.js, при открытии данного файла с их систем. После повторной попытки открытия страницы с текущего IP, вредоносная вставка исчезает. Судя по всему, вредоносных код подставляется на лету и не для всех систем, например, в результате применения ранее упоминаемых руткита для ядра Linux и троянских модулей для apache, lighttpd и nginx, подставляющих вредоносные вставки в транзитный трафик.

24.10.11​

http://www.opennet.ru/opennews/art.shtml?num=38245​

От себя добавлю, что ни в одном кеше найти зловреда не удалось. Сделано добротно, ждем подробностей от инсайдеров .

 

Я бы поспорил на счёт добротно, на таком ресурсе криптануть криво или вообще без крипта вставлять фрейм...

 

всё открылось как обычно

 

Подтверждён факт взлома инфраструктуры проекта PHP

После проведения детального анализа причин вчерашнего попадания сайта php.net в чёрные списки Google, представители проекта PHP подтвердили информацию о получении злоумышленниками контроля над некоторыми серверами в инфраструктуре проекта. В частности, следы взлома обнаружены на двух серверах, обеспечивающих работу сайтов www.php.net, static.php.net, git.php.net и bugs.php.net. В данный момент указанные серверы выведены из работы, а работающие на них сервисы перенесены на новые серверы, настроенные с оглядкой на повышенную безопасность. Способ, использованный атакующими для получения доступа к серверам, пока не ясен.

JavaScript-код, поражающий системы пользователей, отображался выборочно для достаточно небольшой части посетителей c 22 по 24 октября. При первичном анализе содержимое проблемного JavaScript-файла userprefs.js не вызвало подозрений, но при изучении логов было выявлено, что периодически для данного файла в логе фигурировал некорректный размер, через несколько минут размер возвращался к нормальному виду. Дальнейшее изучение показало, что файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron. Окно показа вредоносного варианта userprefs.js было достаточно небольшим и проекту явно повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки, иначе проблема могла быть ещё долго не обнаружена.

Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев - сверка контрольных сумм и содержимого активных репозиториев с доступной только на чтение резервной копией не выявила подозрительных модификаций. Тем не менее, не исключено, что зломышленники получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов. В течение нескольких дней планируется организовать смену всех паролей для пользователей сервисов svn.php.net и git.php.net.

25.10.2013
http://www.opennet.ru/opennews/art.shtml?num=38251
http://php.net/index.php#id2013-10-24-2
​