Dzisiaj rano witryna php.net została zablokowana przez mechanizmy Google Safe Browsing. Początkowo twórca witryny twierdził, że to przypadek „false positive” ale internauci jednak trafili na obecność złośliwego skryptu JavaScript w jednym z plików na stronie. Jeśli odwiedzaliście serwis php.net w ciągu ostatnich 24 godzin, to wiecie, co musicie teraz ze swoim komputerem zrobić :)
PS. Google Safe Browsing czasem potrafi wyświetlać trochę absurdalne wyniki – sprawdźcie, co mówi o stronie google.com lub bing.com.
Aktualizacja 2013-10-25
Tu znajdziecie szczegóły ostatniego etapu infekcji. Tutaj dla odmiany plik pcap z przebiegiem infekcji. Na koniec oświadczenie serwisu php.net potwierdzające, ze dwa serwery padły ofiara włamywaczy.
Komentarze
Póki co pobrałem ten złośliwy doklejany skrypt i znalazłem w nim tylko zbieranie statystyk…
Kopię wersji zawierającej złośliwy kod znajdziesz pod jednym z linków w tekście. To, że Tobie / teraz wyświetla się czysta wcale nie znaczy że innym / wcześniej nie wyświetla /wyświetlała się zainfekowana.
Wszedłem z innego IP i faktycznie coś mi się chciało wgrać… :(
@Sopel przez chwilę myślałem że wszedłem na N, sadząc po poziomie FUDu w newsie oO
A co konkretnie uważasz za FUD w tym newsie? Źródła potwierdzające infekcję?