The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

25.10.2013 09:36  Подтверждён факт взлома инфраструктуры проекта PHP

После проведения детального анализа причин вчерашнего попадания сайта php.net в чёрные списки Google, представители проекта PHP подтвердили информацию о получении злоумышленниками контроля над некоторыми серверами в инфраструктуре проекта. В частности, следы взлома обнаружены на двух серверах, обеспечивающих работу сайтов www.php.net, static.php.net, git.php.net и bugs.php.net. В данный момент указанные серверы выведены из работы, а работающие на них сервисы перенесены на новые серверы, настроенные с оглядкой на повышенную безопасность. Способ, использованный атакующими для получения доступа к серверам, пока не ясен.

JavaScript-код, поражающий системы пользователей, отображался выборочно для достаточно небольшой части посетителей c 22 по 24 октября. При первичном анализе содержимое проблемного JavaScript-файла userprefs.js не вызвало подозрений, но при изучении логов было выявлено, что периодически для данного файла в логе фигурировал некорректный размер, через несколько минут размер возвращался к нормальному виду. Дальнейшее изучение показало, что файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron. Окно показа вредоносного варианта userprefs.js было достаточно небольшим и проекту явно повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки, иначе проблема могла быть ещё долго не обнаружена.

Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев - сверка контрольных сумм и содержимого активных репозиториев с доступной только на чтение резервной копией не выявила подозрительных модификаций. Тем не менее, не исключено, что зломышленники получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов. В течение нескольких дней планируется организовать смену всех паролей для пользователей сервисов svn.php.net и git.php.net.

  1. Главная ссылка к новости (http://php.net/index.php#id201...)
  2. OpenNews: Взлом инфраструктуры Adobe привёл к утечке исходных текстов продуктов и параметров кредитных карт пользователей
  3. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  4. OpenNews: Drupal.org подвергся взлому, база пользователей скомпрометирована
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.2, canon, 10:11, 25/10/2013 [ответить] [смотреть все]
  • +17 +/
    ну хоть признались, и это уже хорошо
     
     
  • 2.7, Sylvia, 10:26, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    и сервера обновили, а то смешно когда у разработчиков PHP на сервере протухшая ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.26, Аноним, 13:24, 25/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Никто в здравом уме в заголовках Server, X-Powered-By и т п не передает правду... весь текст скрыт [показать]
     
     
  • 4.27, Аноним, 13:43, 25/10/2013 [^] [ответить] [смотреть все]  
  • –5 +/
    Сразу видно как вы далеки от ИБ, разве что поможет от скрипт-кидди
     
     
  • 5.36, Аноним, 15:56, 25/10/2013 [^] [ответить] [смотреть все]  
  • +4 +/
    И то хлеб Скорее даже не от скрипт-кидди, а от роботов, сканирующих сервера на ... весь текст скрыт [показать]
     
     
  • 6.52, Куяврик, 21:05, 25/10/2013 [^] [ответить] [смотреть все]  
  • +/
    зачем в ботнет? сервакам есть более приятные применения
     
  • 6.58, Аноним, 23:58, 25/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Намного лучше если вас поимеет робот, нежели нарваться на адресную атаку ... весь текст скрыт [показать]
     
  • 6.68, PereresusNeVlezaetBuggy, 04:49, 27/10/2013 [^] [ответить] [смотреть все]  
  • +/
    От тупых роботов, которые ориентируются на заголовки, конечно, поможет Вот толь... весь текст скрыт [показать]
     
     
  • 7.81, arisu, 06:20, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    ну зачем ты юношу мучаешь он заголовки сменил 8212 и на его локалхост никто ... весь текст скрыт [показать]
     
     
  • 8.86, Онаним, 11:05, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Какие ваши предложения ... весь текст скрыт [показать]
     
     
  • 9.87, arisu, 11:16, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    розги ... весь текст скрыт [показать]
     
     
  • 10.88, Онаним, 11:41, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Розги - это хорошо Так и чешутся руки применить это проверенное временем средст... весь текст скрыт [показать]
     
     
  • 11.89, arisu, 11:45, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    пожимает плечами Крутые Безопасники ещё и не такую ИБД умеют по осмысленности... весь текст скрыт [показать]
     
     
  • 12.90, Онаним, 12:05, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    В терминах безопасников это называется honeypot ... весь текст скрыт [показать]
     
     
  • 13.91, arisu, 12:12, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    в терминах безопасников это называется 171 let s make a little more money on... весь текст скрыт [показать]
     
  • 13.92, Michael Shigorin, 13:21, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Чего honeypot -- это отдельно заготовленная ловушка, возможно, выставляющая за... весь текст скрыт [показать]
     
  • 1.6, Пиу, 10:24, 25/10/2013 [ответить] [смотреть все]  
  • +/
    ждем результатов расследования
     
  • 1.8, Аноним, 10:40, 25/10/2013 [ответить] [смотреть все]  
  • +3 +/
    Способ, использованный атакующими - как раз ясен, не ясно только какой конкрет... весь текст скрыт [показать]
     
  • 1.9, Аноним, 10:43, 25/10/2013 [ответить] [смотреть все]  
  • +13 +/
    робот Google раскрыл хакинг сайта
     
     
  • 2.16, Аноним, 12:10, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Так вот ты какой, интернет-антивирус Хорошее начинание Теперь осталось сделать... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.33, XoRe, 14:14, 25/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    А и правда Проверить только главную Проверить все js x Полная проверк... весь текст скрыт [показать]
     
  • 3.71, Харон, 14:19, 28/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Так есть сервис оперативного оповещения владельцев сайта Только он работает для... весь текст скрыт [показать]
     
  • 2.62, Baz, 05:08, 26/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Так и вижу новость как пхп нэт уволил половину админов и установил роботы гугла ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.63, бедный буратино, 05:15, 26/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Наверное, половину админа ... весь текст скрыт [показать]
     
  • 1.10, Demo, 11:00, 25/10/2013 [ответить] [смотреть все]  
  • –1 +/
    Неудивительно.
     
  • 1.12, Аноним, 11:18, 25/10/2013 [ответить] [смотреть все]  
  • –5 +/
    Мозила тоже заметила, так почему пишут только о Google? Пиар Пиарыч какой то
     
     
  • 2.13, Аноним, 11:36, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Вы удивитесь, но в Firfox используется чёрный список Google ... весь текст скрыт [показать] [показать ветку]
     
  • 2.15, Аноним, 11:40, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Задайте в about config в фильтр по слову safebrowsing, тогда вам станет ясно как... весь текст скрыт [показать] [показать ветку]
     
  • 1.14, Наивный чукотский юноша, 11:37, 25/10/2013 [ответить] [смотреть все]  
  • +2 +/
    Неделя злорадства над php-шниками. Ждём результатов, интересно же, что проэксплуатировали. Дыра или банальный старый софт?
     
     
  • 2.17, бедный буратино, 12:16, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    пардон, а в остальные недели что с ними делают?
     
     
  • 3.18, Наивный чукотский юноша, 12:24, 25/10/2013 [^] [ответить] [смотреть все]  
  • +8 +/
    ну так эта неделя объявлена официально.
     
     
  • 4.20, бедный буратино, 12:44, 25/10/2013 [^] [ответить] [смотреть все]  
  • –1 +/
    на openbsd пусть переходят правда, в черезнедельном релизе будут только php 5 2... весь текст скрыт [показать]
     
     
  • 5.57, Michael Shigorin, 23:29, 25/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    only two remote holes in default install which is unusable anyways ... весь текст скрыт [показать]
     
     
  • 6.60, бедный буратино, 04:55, 26/10/2013 [^] [ответить] [смотреть все]  
  • +/
    чё не нравится - пусть не переходят, только не ругайтесь в default install нет... весь текст скрыт [показать]
     
     
  • 7.66, Michael Shigorin, 19:49, 26/10/2013 [^] [ответить] [смотреть все]  
  • +/
    И хде тот nginx болтается в default install, на самом хакоопасном направлении ... весь текст скрыт [показать]
     
     
  • 8.67, бедный буратино, 19:55, 26/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Он нигде не болтается OpenBSD s new installer is designed to install and con... весь текст скрыт [показать]
     
  • 8.69, PereresusNeVlezaetBuggy, 04:55, 27/10/2013 [^] [ответить] [смотреть все]  
  • +/
    В смысле Вот он, ставится рядом с Апачем С добавлением мелких плюшек, которых ... весь текст скрыт [показать]
     
     
  • 9.70, бедный буратино, 05:14, 27/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я вижу Каждый Охотник Желает Знать Где Лежит rc conf local ... весь текст скрыт [показать]
     
  • 5.59, Аноним, 00:01, 26/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А если еще сетевой кабель и питание к серверу не подключать - хакеры уж точно об... весь текст скрыт [показать]
     
     
  • 6.61, бедный буратино, 04:56, 26/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Да, это был бы лучший выход Но, боюсь, php net на это не пойдёт ... весь текст скрыт [показать]
     
  • 2.22, Аноним, 12:50, 25/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Банальный дырявый старый неподдерживаемый софт
     
     
  • 3.28, Аноним, 13:46, 25/10/2013 [^] [ответить] [смотреть все]  
  • +2 +/
    Ну конечно, вас как админа не хватает на php net, вот их и взломали ... весь текст скрыт [показать]
     
     
  • 4.45, www2, 18:42, 25/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Диалоги анонимов умиляют Как будто человек с раздвоением личности разговаривает... весь текст скрыт [показать]
     
  • 4.55, Аноним, 22:10, 25/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Ну конечно, устройте меня к ним на работу ... весь текст скрыт [показать]
     
  • 1.21, robux, 12:49, 25/10/2013 [ответить] [смотреть все]  
  • +1 +/
    > проекту явно повезло, что робот Google выполнил проверку

    Проекту явно повезло, что жучки внедрил не АНБ, иначе бы Google помалкивал.

     
     
  • 2.64, AdVv, 12:13, 26/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это их разработка, нахрен еще что-то туда внедрять ;)
     
  • 1.34, XoRe, 14:18, 25/10/2013 [ответить] [смотреть все]  
  • +1 +/
    > файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron

    Гениально!
    Нафиг грузить модули для apache, нафиг хакать nginx.
    Keep it Simple luke!

     
  • 1.37, Buy, 16:10, 25/10/2013 [ответить] [смотреть все]  
  • +/
    > повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки

    А почему они не продают или не сдают в аренду своего робота? Например чтоб постоянно сайт мониторил? Ну, типа как Касперыч.

     
     
  • 2.65, Aleks Revo, 17:15, 26/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    А они таки не? Админка "webmaster" не всем доступна?
     
  • 1.72, Аноним, 14:48, 28/10/2013 [ответить] [смотреть все]  
  • –1 +/
    Да ну нафик если честно по правде то Разводят сплетни для бабок на скамейки Ну... весь текст скрыт [показать]
     
     
  • 2.75, Michael Shigorin, 16:58, 28/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Вы точно не температурите Огульным отрицанием проблемы не исправляются ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.76, Аноним, 15:56, 29/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А тут в смысле ситуация с подменой скрипта посредством crond и нет никакой проб... весь текст скрыт [показать]
     
     
  • 4.77, Michael Shigorin, 19:34, 29/10/2013 [^] [ответить] [смотреть все]  
  • +1 +/
    Причём роботов гугла, как понимаю Дальнейшие излияния особенно драматически вос... весь текст скрыт [показать]
     
     
  • 5.78, Аноним, 20:45, 29/10/2013 [^] [ответить] [смотреть все]  
  • +/
    А роботы сами себя наверно написали Там прям такие роботы что таже не подчинятс... весь текст скрыт [показать]
     
     
  • 6.79, Michael Shigorin, 14:27, 30/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Вы серьёзно не понимаете разницы между конвейером и индивидуальным вниманием к к... весь текст скрыт [показать]
     
     
  • 7.80, Аноним, 19:30, 30/10/2013 [^] [ответить] [смотреть все]  
  • +/
    Я разницу хорошо понимаю. Но вы наверно еще лучше меня понимаете.
     
  • 2.82, arisu, 06:24, 31/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    чувак, ты или дебил, или упоротый. впрочем, не исключаю, что и то, и другое.
     
  • 1.73, Аноним, 15:03, 28/10/2013 [ответить] [смотреть все]  
  • –1 +/
    Маркетологам Яндыкса бы тоже на заметку эту тактику стоило бы взять А то щас ... весь текст скрыт [показать]
     
     
  • 2.83, arisu, 06:26, 31/10/2013 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    так и вижу бабулек на скамейке, обсуждающих 171 вредоносный скрипт на сайте ph... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.84, бедный буратино, 06:44, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    так perl ещё никто не оскорблял ... весь текст скрыт [показать]
     
     
  • 4.85, arisu, 07:13, 31/10/2013 [^] [ответить] [смотреть все]  
  • +/
    эти бабки матом не ругаются прилюдно, по крайней мере поэтому слово 171 перл... весь текст скрыт [показать]
     
  • 1.74, Аноним, 15:31, 28/10/2013 [ответить] [смотреть все]  
  • +/
    У Гугла у самого там в инфраструктуре беспорядок, об этом они молчат, а как что ... весь текст скрыт [показать]
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor