Chrome en Firefox blokkeren php.net wegens mogelijke aanwezigheid malware

Php.net, de website van de makers van de scripttaal php, wordt door zowel Chrome als Firefox geblokkeerd. De site zou malware bevatten. De Safe Browsing-site van Google maakt melding dat er vier trojans zouden zijn gevonden op php.net.

PHPDe precieze reden voor de blokkade van php.net in Chrome is niet geheel duidelijk, maar volgens de Safe Browsing-informatie zouden er verwijzingen naar malware op de site zijn aangetroffen. In een discussie op een nieuwsgroep van Google wordt er gesproken dat het bestand userprefs.js op php.net verdacht zou zijn geweest en dat om deze reden de Safe Browsing-tool de site geblokkeerd heeft.

Omdat ook Firefox gebruik maakt van de Safe Browsing-api van Google, weigert ook deze browser de toegang tot de website. Onduidelijk is of de beheerders van php.net de site, waarop onder andere handleidingen voor de populaire scripttaal en downloads zijn te vinden, weer snel in de lucht zullen krijgen. Rasmus Lerfdorf, ontwerper van de php-scripttaal, laat via Twitter weten dat hij problemen heeft om php.net opnieuw door de Safe Browsing-module te laten controleren.

Update, 19:30: Een medewerker van Google meldt op Hacker News dat er inderdaad sprake was van een gemanipuleerd javascript-bestand. Daarmee zou het niet gaan om een valse melding. Inmiddels is php.net weer bereikbaar.

Door Dimitri Reijerman

Redacteur

Feedback • 24-10-2013 13:16
42 • submitter: Luceos

24-10-2013 • 13:16

42

Submitter: Luceos

Lees meer

Firefox controleert downloads op malware via Googles Safe Browsing
Firefox controleert downloads op malware via Googles Safe Browsing Nieuws van 2 augustus 2016
Chrome gaat malwaredownloads blokkeren
Chrome gaat malwaredownloads blokkeren Nieuws van 31 oktober 2013
Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC
Php.net-malware benutte lekken in Flash, IE, Java, Silverlight en VLC Nieuws van 25 oktober 2013
Php.net: hack trof twee servers
Php.net: hack trof twee servers Nieuws van 25 oktober 2013
Google komt met nieuwe beveiliging tegen malafide Chrome-extensies
Google komt met nieuwe beveiliging tegen malafide Chrome-extensies Nieuws van 18 april 2013
Mozilla voorziet Firefox-browsers van snellere javascript-engine
Mozilla voorziet Firefox-browsers van snellere javascript-engine Nieuws van 8 januari 2013
Website Nujij belandt op zwarte lijst Google door malware
Website Nujij belandt op zwarte lijst Google door malware Nieuws van 5 juli 2012
Google brengt bètaversie Chrome 12 uit
Google brengt bètaversie Chrome 12 uit Nieuws van 10 mei 2011
Google-api gaat beschermen tegen gevaarlijke downloads
Google-api gaat beschermen tegen gevaarlijke downloads Nieuws van 6 april 2011
Google maakt lijst met geïnfecteerde sites toegankelijk
Google maakt lijst met geïnfecteerde sites toegankelijk Nieuws van 20 juni 2007
Meer producten en artikelen
Netwerk en systeembeheer Php

Reacties (42)

-Moderatie-faq
42
41
24
7
1
14
Wijzig sortering
arendvw 24 oktober 2013 13:25
Er schijnt een javascript bestand te zijn gehacked, het betreft de userprefs.js. In plaats van wat cookies inlezen, een externe iframe inlaadde.

Hier is een gebruiker die een kopie van de javascript heeft. https://news.ycombinator.com/item?id=6604251

Ondertussen is de manual ook beschikbaar op http://devdocs.io/php/
watercoolertje @arendvw24 oktober 2013 14:18
Ondertussen is de manual ook beschikbaar op http://devdocs.io/php/
Er zijn 100den misschien wel 1000den mirrors :P De betere editors hebben zelfs een manual ingebouwd...

[Reactie gewijzigd door watercoolertje op 24 juli 2024 13:11]

Snikker @watercoolertje24 oktober 2013 14:24
Ik denk dat arendvw beide URL's van Reddit heeft ;)

http://www.reddit.com/r/t...ebsite_with_malware_this/

Persoonlijk vind ik de devdocs.io niet zo'n handige, heb je een betere?
Peter 24 oktober 2013 13:23
Op HN is er een interessante discussie waarin karma_fountain wat meer informatie deelt over het probleem. In het kort, iedere eerste aanvraag van een IP adres krijgt extra JavaScript code meegeleverd waardoor er via een <iframe> element een externe pagina aangeroepen wordt. Deze pagina wordt ervan verdacht om malware te installeren.

https://news.ycombinator.com/item?id=6604251
Appel105 24 oktober 2013 13:25
Google genereert zelf een rapport wat er fout is. Hierin word duidelijk weergeven dat er trojans gevonden zijn, en waar die gehost worden:
Safe Browsing
Diagnostic page for php.net

What is the current listing status for php.net?
Site is listed as suspicious - visiting this web site may harm your computer.

Part of this site was listed for suspicious activity 1 time(s) over the past 90 days.

What happened when Google visited this site?
Of the 1613 pages we tested on the site over the past 90 days, 4 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2013-10-24, and the last time suspicious content was found on this site was on 2013-10-23.
Malicious software includes 4 trojan(s).

Malicious software is hosted on 4 domain(s), including cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

This site was hosted on 79 network(s) including AS36752 (YAHOO-SP1), AS23148 (TERREMARK), AS36444 (NEXCESS-NET).

Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, php.net did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?
No, this site has not hosted malicious software over the past 90 days.

[Reactie gewijzigd door Appel105 op 24 juli 2024 13:11]

ilaurensnl @Appel10524 oktober 2013 14:41
Nee hoor:

Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, php.net did not appear to function as an intermediary for the infection of any sites.

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Dus het zijn doorverwijzingen, vaak gebeuren dit soort gevallen ook bij advertenties. Althans dat is een van de mogelijkheden.
locke960 @Appel10524 oktober 2013 14:47
Vreemd. Alle genoemde intermediaries, op een na, zijn geparkeerde domeinen bij GoDaddy. En ze staan daar al een tijdje ook.
Dan zou dus GoDaddy ook gehacked zijn ? Iemand die begrijpt wat dit betekent ?
ilaurensnl @locke96026 oktober 2013 21:05
waarschijnlijk betekend dat ze uit het lucht zijn gehaald.
blade1989 24 oktober 2013 14:17
Hierbij de virustotal rapport:
https://www.virustotal.co...6365/analysis/1382616924/

Quttera/Google Safebrowsing die geven een "Malicious site" melding

2 / 47 van hun scans dus!

verdere reports :

http://www.google.com/safebrowsing/diagnostic?site=php.net

http://sitecheck.sucuri.net/results/php.net

http://wepawet.iseclab.or...7366&t=1382616680&type=js


EDIT:
Net getest: Internet Explorer 9, die gaat gewoon naar php.net zonder enige waarschuwing!


EDIT2
Site wordt niet mer beschouwd als gevaarlijk.
Hierbij de virustotal rapport(up dated versie):

https://www.virustotal.co...8f6b/analysis/1382621561/

[Reactie gewijzigd door blade1989 op 24 juli 2024 13:11]

sjerdo @blade198924 oktober 2013 17:20
Jouw laatste virustotal link laat een scan van tweakers.net zien..
Als ik php.net opnieuw door de virustotal gooi, krijg ik het volgende rapport:
https://www.virustotal.co...6365/analysis/1382627947/
blade1989 @sjerdo25 oktober 2013 09:06
Oeps! ik had tussendoor ook tweakers.net gescand, verkeerde url gekopieerd! Excuses!
jarrin 24 oktober 2013 13:20
Chrome en Firefox wijzen niks af bij mij. Ik kan in beide browsers de website nog direct bezoeken. Alleen via google.nl gaat dat niet.
daan.timmer @jarrin24 oktober 2013 14:56
Zie: http://safebrowsing.clien...ent=googlechrome&hl=en-US

De reden waarom google het 'blokkeert'
Phoenix_the_II @daan.timmer24 oktober 2013 16:46
Ondertussen is php.net niet meer geblokkeerd :)
djwice @daan.timmer24 oktober 2013 17:23
http://safebrowsing.clien...client=googlechrome&hl=nl

en-US vervangen door nl geeft de Nederlandse versie (zoals bij de meeste sites van Google)
friggler @jarrin24 oktober 2013 13:21
Hier anders wel het geval met Firefox. Ik krijg de melding als ik direct in de browser naar http://php.net ga.
jarrin @friggler24 oktober 2013 13:23
Vreemd, Firefox geeft nu na een aantal keer refreshen wel de melding. Chrome zegt er nog steeds niet over.
grafgever @jarrin24 oktober 2013 14:04
Ik krijg in chrome gelijk de melding, overigens kan ik wel gewoon klikken op ''ga verder op eigen risico'' de site is toch gewoon bereikbaar. Snap daarom ook niet wat het artikel bedoeld met: ''Onduidelijk is of de beheerders van php.net de site, waarop onder andere handleidingen voor de populaire scripttaal en downloads zijn te vinden, weer snel in de lucht zullen krijgen.'' bedoeld, de site is gewoon in de lucht.
Anoniem: 126717 @friggler24 oktober 2013 13:26
FF Aurora 26.0a2 (2013-10-24) voor Linux ook hier.

Edit:
Een site in Moldavie, geen echte verrassing. En ik denk dat de malware op meer plaatsen gaat opduiken gezien het feit dat er meer sites zijn met dezelfde pagina.
http://urlquery.net/report.php?id=7125113 (Die trouwens de malware niet vindt.)

[Reactie gewijzigd door Anoniem: 126717 op 24 juli 2024 13:11]

DonKui @jarrin24 oktober 2013 13:23
raar, ik krijg direct een melding als ik er naar toe gaat dat het volgens Chrome geen veilige site is
vpm 24 oktober 2013 13:21
Toevallig vandaag nog niet hoeven gebruiken, maar de afgelopen dagen toch met enige regelmaat. Ik hoop dat onze bedrijfsgegevens nu niet op straat liggen... T_T

Ik kan er in ieder geval niet meer op. Dan maar weer uit het blote hoofd.

[Reactie gewijzigd door vpm op 24 juli 2024 13:11]

Morrar @vpm24 oktober 2013 13:44
Als je het screenshot op Twitter bekijkt, weet je ook meteen om welke URL het gaat:

http://screencast.com/t/YrHwpbqyUJf
(manual/en/dateinterval.createfromdatestring.php)

Hopelijk heb je de laatste tijd niks met datum-intervallen gedaan :+ (ik wel trouwens, maar geen virus alerts gehad). Verder ziet dit er uit als een standaard hack: Malware plaatsen op een achteraf / hobby servertje waarbij je toegang hebt verkregen tot het bestandssysteem. Dan op een vele grotere site via o.a. code injection die malware verspreiden onder het grote publiek.

Blijkt toch maar weer dat beveiliging vaak zo sterk is als de zwakste schakel.


*edit: even de link breken :)

[Reactie gewijzigd door Morrar op 24 juli 2024 13:11]

svennd @Morrar24 oktober 2013 14:22
Dat is de pagina waar ze het hebben ontdekt, betekent niet dat dat de enige pagina is;
ToySoldier1992 @vpm24 oktober 2013 13:34
Huh? Op welke manier staan welke bedrijfsgegevens dan op php.net?
Freee!! @ToySoldier199224 oktober 2013 13:38
Huh? Op welke manier staan welke bedrijfsgegevens dan op php.net?
Niet op php.net maar via besmetting met malware.
n8n 24 oktober 2013 13:33
Safari heeft zich ook bij de blokkerende browsers geschaard

bron: http://cl.ly/S7K3/Screen%...10-24%20at%2013.32.53.png
ieperlingetje @n8n24 oktober 2013 13:56
Ze gebruiken allemaal dezelfde safebrowsing api, dus is het logisch dat ze allemaal een waarschuwing gooien.
12345dan 24 oktober 2013 13:23
Fijn dat vele browsers de Safe Browsing-site van Google ondersteund. Helaas ondersteund Internet Explorer deze functie niet.

Best raar, dat er mogelijk malware op php.net zit.

Als je zoekt php.net op Google staat er: "Deze site kan schade aan uw computer toebrengen" in alle browsers die de Safe Browsing-site van Google ondersteund.

Namelijk:
Mozilla Firefox
Google Chrome
Safari

[Reactie gewijzigd door 12345dan op 24 juli 2024 13:11]

JoepD 24 oktober 2013 13:25
Ik ben wel benieuwd wat hier aan de hand is. Ik ben bijna dagelijks te vinden in de function reference van PHP.net.
stealthgun 24 oktober 2013 14:03
Opera Next heeft het ook, het gaat om windows.php.net bij mij,

"Warning - visiting this web site may harm your computer!"

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq