Ако сте се опитали през последните дни да посетите PHP.net с Mozilla или Chrome и сте получавали съобщение от Google Safe Browsing, че посещаването на страницата не се разрешава заради наличието на малуер и сте послушали съвета да не го посещавате - браво, тъй като за нещастие не се оказва погрешно засичане. Google Safe Browsing започна да засича PHP.net като инфектиран с малуер. Часове след това от сайта потвърдиха, че сървърите им са били компрометирани и неизвестна страна е използвала пробива, за да атакува потребителите на сайта. Администраторите все още изследват начина на пробив в системите им.На страниците на
HackerNews се дискутира вече четири дни, дали това засичането е фалшива тревога или не. Именно потребителите на сайта явно са раздвижили администраторите на PHP.net, които в началото са заявили, че няма основание за притеснения относно файлът, който е бил обект на спора - написан на JavaScript код, който е бил променен с цел вграждането на зловреден iFrame.Според доклада на PHP.net излязъл в
четвъртък четири са страниците на сайта, които обслужва JavaScript файла (userprefs.js), който е модифициран с избирателно обфускиран код и е засягал десктоп потребителите, но не и потребителите на мобилни устройства."...екипът на PHP.net е проверил всеки сървър, който обслужва сайта и са открили, че два от тях са компрометирани - сървърът хостващ
www.php.net, static.php.net и git.php.net адресите и този, който хоства bugs.php.net. Методът, който е използван при компрометирането на тези сървъри все още не е известен". Към настоящият момент изглежда всичко е наред със сайта имайки предвид обновената информация от
Google.Като допълнителна предпазна мярка SSL сертификатът на сайта е бил премахнат и е бил изготвен нов малко след това. Засегнатите услуги предоставяни от сървъри са били преместени и е потвърдено, че Git хранилището не е компрометирано.CSO Online съобщава, че още в самото начало, когато Safe Browsing е започнал да "блеклиства" PHP.net, експерти по информационна защита са предупредили, че това
не е фалшиво засичане от страна на Google. Специалистите от Barracuda Labs решили да помогнат на засегнатите по случая и изготвили pcap (от англ. packet capture - "прихващане на пакети") файлове, с което доказали, че на сайта съществува зловредна активност, в това число и зловредни Shockwave (Flash) файлове, доставени с помощта на въпросния JavaScript файл. А по случая са се включили и от
Trustwave, а от специалист от Касперски е открил, че JavaScript-а е отвеждал до експлойт-кит, който е имал за цел да зарази компютрите на посетителите на страницата с троянски кон, който може да крае данни.
