Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 42 reacties
Submitter: Luceos

Php.net, de website van de makers van de scripttaal php, wordt door zowel Chrome als Firefox geblokkeerd. De site zou malware bevatten. De Safe Browsing-site van Google maakt melding dat er vier trojans zouden zijn gevonden op php.net.

PHPDe precieze reden voor de blokkade van php.net in Chrome is niet geheel duidelijk, maar volgens de Safe Browsing-informatie zouden er verwijzingen naar malware op de site zijn aangetroffen. In een discussie op een nieuwsgroep van Google wordt er gesproken dat het bestand userprefs.js op php.net verdacht zou zijn geweest en dat om deze reden de Safe Browsing-tool de site geblokkeerd heeft.

Omdat ook Firefox gebruik maakt van de Safe Browsing-api van Google, weigert ook deze browser de toegang tot de website. Onduidelijk is of de beheerders van php.net de site, waarop onder andere handleidingen voor de populaire scripttaal en downloads zijn te vinden, weer snel in de lucht zullen krijgen. Rasmus Lerfdorf, ontwerper van de php-scripttaal, laat via Twitter weten dat hij problemen heeft om php.net opnieuw door de Safe Browsing-module te laten controleren.

Update, 19:30: Een medewerker van Google meldt op Hacker News dat er inderdaad sprake was van een gemanipuleerd javascript-bestand. Daarmee zou het niet gaan om een valse melding. Inmiddels is php.net weer bereikbaar.
Moderatie-faq Wijzig weergave

Reacties (42)

Er schijnt een javascript bestand te zijn gehacked, het betreft de userprefs.js. In plaats van wat cookies inlezen, een externe iframe inlaadde.

Hier is een gebruiker die een kopie van de javascript heeft. https://news.ycombinator.com/item?id=6604251

Ondertussen is de manual ook beschikbaar op http://devdocs.io/php/
Ondertussen is de manual ook beschikbaar op http://devdocs.io/php/
Er zijn 100den misschien wel 1000den mirrors :P De betere editors hebben zelfs een manual ingebouwd...

[Reactie gewijzigd door watercoolertje op 24 oktober 2013 14:19]

Ik denk dat arendvw beide URL's van Reddit heeft ;)

http://www.reddit.com/r/t...ebsite_with_malware_this/

Persoonlijk vind ik de devdocs.io niet zo'n handige, heb je een betere?
Op HN is er een interessante discussie waarin karma_fountain wat meer informatie deelt over het probleem. In het kort, iedere eerste aanvraag van een IP adres krijgt extra JavaScript code meegeleverd waardoor er via een <iframe> element een externe pagina aangeroepen wordt. Deze pagina wordt ervan verdacht om malware te installeren.

https://news.ycombinator.com/item?id=6604251
Google genereert zelf een rapport wat er fout is. Hierin word duidelijk weergeven dat er trojans gevonden zijn, en waar die gehost worden:
Safe Browsing
Diagnostic page for php.net

What is the current listing status for php.net?
Site is listed as suspicious - visiting this web site may harm your computer.

Part of this site was listed for suspicious activity 1 time(s) over the past 90 days.

What happened when Google visited this site?
Of the 1613 pages we tested on the site over the past 90 days, 4 page(s) resulted in malicious software being downloaded and installed without user consent. The last time Google visited this site was on 2013-10-24, and the last time suspicious content was found on this site was on 2013-10-23.
Malicious software includes 4 trojan(s).

Malicious software is hosted on 4 domain(s), including cobbcountybankruptcylawyer.com/, stephaniemari.com/, northgadui.com/.

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

This site was hosted on 79 network(s) including AS36752 (YAHOO-SP1), AS23148 (TERREMARK), AS36444 (NEXCESS-NET).

Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, php.net did not appear to function as an intermediary for the infection of any sites.

Has this site hosted malware?
No, this site has not hosted malicious software over the past 90 days.

[Reactie gewijzigd door JBee op 24 oktober 2013 14:19]

Nee hoor:

Has this site acted as an intermediary resulting in further distribution of malware?
Over the past 90 days, php.net did not appear to function as an intermediary for the infection of any sites.

3 domain(s) appear to be functioning as intermediaries for distributing malware to visitors of this site, including stephaniemari.com/, northgadui.com/, satnavreviewed.co.uk/.

Dus het zijn doorverwijzingen, vaak gebeuren dit soort gevallen ook bij advertenties. Althans dat is een van de mogelijkheden.
Vreemd. Alle genoemde intermediaries, op een na, zijn geparkeerde domeinen bij GoDaddy. En ze staan daar al een tijdje ook.
Dan zou dus GoDaddy ook gehacked zijn ? Iemand die begrijpt wat dit betekent ?
waarschijnlijk betekend dat ze uit het lucht zijn gehaald.
Hierbij de virustotal rapport:
https://www.virustotal.co...6365/analysis/1382616924/

Quttera/Google Safebrowsing die geven een "Malicious site" melding

2 / 47 van hun scans dus!

verdere reports :

http://www.google.com/safebrowsing/diagnostic?site=php.net

http://sitecheck.sucuri.net/results/php.net

http://wepawet.iseclab.or...7366&t=1382616680&type=js


EDIT:
Net getest: Internet Explorer 9, die gaat gewoon naar php.net zonder enige waarschuwing!


EDIT2
Site wordt niet mer beschouwd als gevaarlijk.
Hierbij de virustotal rapport(up dated versie):

https://www.virustotal.co...8f6b/analysis/1382621561/

[Reactie gewijzigd door blade1989 op 24 oktober 2013 15:34]

Jouw laatste virustotal link laat een scan van tweakers.net zien..
Als ik php.net opnieuw door de virustotal gooi, krijg ik het volgende rapport:
https://www.virustotal.co...6365/analysis/1382627947/
Oeps! ik had tussendoor ook tweakers.net gescand, verkeerde url gekopieerd! Excuses!
Chrome en Firefox wijzen niks af bij mij. Ik kan in beide browsers de website nog direct bezoeken. Alleen via google.nl gaat dat niet.
Ondertussen is php.net niet meer geblokkeerd :)
http://safebrowsing.clien...client=googlechrome&hl=nl

en-US vervangen door nl geeft de Nederlandse versie (zoals bij de meeste sites van Google)
Hier anders wel het geval met Firefox. Ik krijg de melding als ik direct in de browser naar http://php.net ga.
Vreemd, Firefox geeft nu na een aantal keer refreshen wel de melding. Chrome zegt er nog steeds niet over.
Ik krijg in chrome gelijk de melding, overigens kan ik wel gewoon klikken op ''ga verder op eigen risico'' de site is toch gewoon bereikbaar. Snap daarom ook niet wat het artikel bedoeld met: ''Onduidelijk is of de beheerders van php.net de site, waarop onder andere handleidingen voor de populaire scripttaal en downloads zijn te vinden, weer snel in de lucht zullen krijgen.'' bedoeld, de site is gewoon in de lucht.
FF Aurora 26.0a2 (2013-10-24) voor Linux ook hier.

Edit:
Een site in Moldavie, geen echte verrassing. En ik denk dat de malware op meer plaatsen gaat opduiken gezien het feit dat er meer sites zijn met dezelfde pagina.
http://urlquery.net/report.php?id=7125113 (Die trouwens de malware niet vindt.)

[Reactie gewijzigd door ADQ op 24 oktober 2013 13:47]

raar, ik krijg direct een melding als ik er naar toe gaat dat het volgens Chrome geen veilige site is
Toevallig vandaag nog niet hoeven gebruiken, maar de afgelopen dagen toch met enige regelmaat. Ik hoop dat onze bedrijfsgegevens nu niet op straat liggen... T_T

Ik kan er in ieder geval niet meer op. Dan maar weer uit het blote hoofd.

[Reactie gewijzigd door vpm op 24 oktober 2013 13:23]

Als je het screenshot op Twitter bekijkt, weet je ook meteen om welke URL het gaat:

http://screencast.com/t/YrHwpbqyUJf
(manual/en/dateinterval.createfromdatestring.php)

Hopelijk heb je de laatste tijd niks met datum-intervallen gedaan :+ (ik wel trouwens, maar geen virus alerts gehad). Verder ziet dit er uit als een standaard hack: Malware plaatsen op een achteraf / hobby servertje waarbij je toegang hebt verkregen tot het bestandssysteem. Dan op een vele grotere site via o.a. code injection die malware verspreiden onder het grote publiek.

Blijkt toch maar weer dat beveiliging vaak zo sterk is als de zwakste schakel.


*edit: even de link breken :)

[Reactie gewijzigd door Morrar op 24 oktober 2013 13:50]

Dat is de pagina waar ze het hebben ontdekt, betekent niet dat dat de enige pagina is;
Huh? Op welke manier staan welke bedrijfsgegevens dan op php.net?
Huh? Op welke manier staan welke bedrijfsgegevens dan op php.net?
Niet op php.net maar via besmetting met malware.
Safari heeft zich ook bij de blokkerende browsers geschaard

bron: http://cl.ly/S7K3/Screen%...10-24%20at%2013.32.53.png
Ze gebruiken allemaal dezelfde safebrowsing api, dus is het logisch dat ze allemaal een waarschuwing gooien.
Fijn dat vele browsers de Safe Browsing-site van Google ondersteund. Helaas ondersteund Internet Explorer deze functie niet.

Best raar, dat er mogelijk malware op php.net zit.

Als je zoekt php.net op Google staat er: "Deze site kan schade aan uw computer toebrengen" in alle browsers die de Safe Browsing-site van Google ondersteund.

Namelijk:
Mozilla Firefox
Google Chrome
Safari

[Reactie gewijzigd door 12345dan op 24 oktober 2013 13:49]

Ik ben wel benieuwd wat hier aan de hand is. Ik ben bijna dagelijks te vinden in de function reference van PHP.net.
Opera Next heeft het ook, het gaat om windows.php.net bij mij,

"Warning - visiting this web site may harm your computer!"

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True