The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Подтверждён факт взлома инфраструктуры проекта PHP

25.10.2013 09:36

После проведения детального анализа причин вчерашнего попадания сайта php.net в чёрные списки Google, представители проекта PHP подтвердили информацию о получении злоумышленниками контроля над некоторыми серверами в инфраструктуре проекта. В частности, следы взлома обнаружены на двух серверах, обеспечивающих работу сайтов www.php.net, static.php.net, git.php.net и bugs.php.net. В данный момент указанные серверы выведены из работы, а работающие на них сервисы перенесены на новые серверы, настроенные с оглядкой на повышенную безопасность. Способ, использованный атакующими для получения доступа к серверам, пока не ясен.

JavaScript-код, поражающий системы пользователей, отображался выборочно для достаточно небольшой части посетителей c 22 по 24 октября. При первичном анализе содержимое проблемного JavaScript-файла userprefs.js не вызвало подозрений, но при изучении логов было выявлено, что периодически для данного файла в логе фигурировал некорректный размер, через несколько минут размер возвращался к нормальному виду. Дальнейшее изучение показало, что файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron. Окно показа вредоносного варианта userprefs.js было достаточно небольшим и проекту явно повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки, иначе проблема могла быть ещё долго не обнаружена.

Атака не затронула архивы с исходными текстами и содержимое Git-репозиториев - сверка контрольных сумм и содержимого активных репозиториев с доступной только на чтение резервной копией не выявила подозрительных модификаций. Тем не менее, не исключено, что зломышленники получили доступ к SSL-сертификатам сайта php.net. В настоящее время php.net временно не доступен по HTTPS из-за инициирования процесса смены SSL-сертификатов. В течение нескольких дней планируется организовать смену всех паролей для пользователей сервисов svn.php.net и git.php.net.

  1. Главная ссылка к новости (http://php.net/index.php#id201...)
  2. OpenNews: Взлом инфраструктуры Adobe привёл к утечке исходных текстов продуктов и параметров кредитных карт пользователей
  3. OpenNews: Компания Canonical опубликовала отчёт с подробностями о взломе форума Ubuntu
  4. OpenNews: Drupal.org подвергся взлому, база пользователей скомпрометирована
  5. OpenNews: В Сети зафиксирован массовый взлом серверов на базе Linux
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/38251-php
Ключевые слова: php, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (62) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, canon (?), 10:11, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +17 +/
    ну хоть признались, и это уже хорошо
     
     
  • 2.7, Sylvia (ok), 10:26, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    и сервера обновили, а то смешно когда у разработчиков PHP на сервере "протухшая" версия PHP :)
    Server: nginx/1.4.1
    X-Powered-By: PHP/5.5.4-1

    не совсем новье теперь, но хоть без известных дырок

     
     
  • 3.26, Аноним (26), 13:24, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Никто в здравом уме в заголовках Server, X-Powered-By и т. п. не передает правду. Зачем помогать взломщикам, сразу сужая набор эксплоитов?
     
     
  • 4.27, Аноним (-), 13:43, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • –5 +/
    Сразу видно как вы далеки от ИБ, разве что поможет от скрипт-кидди
     
     
  • 5.36, Аноним (26), 15:56, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > разве что поможет от скрипт-кидди

    И то хлеб. Скорее даже не от скрипт-кидди, а от роботов, сканирующих сервера на предмет наличия уязвимых версий софта. Возможно, близкие к ИБ админы локалхостов не в курсе, но большинство взломов происходит вообще без участия человека. Нашли старый дырявый апач/бинд/сендмейл/впишите свое, применили эксплоит, добавили на сервер закладочку, в ботнете появился новый узел.

     
     
  • 6.52, Куяврик (?), 21:05, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    зачем в ботнет? сервакам есть более приятные применения
     
  • 6.58, Аноним (-), 23:58, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > И то хлеб. Скорее даже не от скрипт-кидди, а от роботов,

    Намного лучше если вас поимеет робот, нежели нарваться на адресную атаку.

     
  • 6.68, PereresusNeVlezaetBuggy (ok), 04:49, 27/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    От тупых роботов, которые ориентируются на заголовки, конечно, поможет Вот толь... большой текст свёрнут, показать
     
     
  • 7.81, arisu (ok), 06:20, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А теперь вопрос к знатоку: если на двери банка повесить табличку «закрыто»,
    > то грабители не сунутся, да?

    ну зачем ты юношу мучаешь? он заголовки сменил — и на его локалхост никто до сих пор не сунулся.

     
     
  • 8.86, Онаним (?), 11:05, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Какие ваши предложения ... текст свёрнут, показать
     
     
  • 9.87, arisu (ok), 11:16, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    розги ... текст свёрнут, показать
     
     
  • 10.88, Онаним (?), 11:41, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Розги - это хорошо Так и чешутся руки применить это проверенное временем средст... текст свёрнут, показать
     
     
  • 11.89, arisu (ok), 11:45, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    пожимает плечами Крутые Безопасники ещё и не такую ИБД умеют по осмысленности... текст свёрнут, показать
     
     
  • 12.90, Онаним (?), 12:05, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В терминах безопасников это называется honeypot ... текст свёрнут, показать
     
     
  • 13.91, arisu (ok), 12:12, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    в терминах безопасников это называется 171 let s make a little more money on... текст свёрнут, показать
     
  • 13.92, Michael Shigorin (ok), 13:21, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Чего honeypot -- это отдельно заготовленная ловушка, возможно, выставляющая за... большой текст свёрнут, показать
     

  • 1.6, Пиу (ok), 10:24, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ждем результатов расследования
     
  • 1.8, Аноним (-), 10:40, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    "Способ, использованный атакующими" - как раз ясен, не ясно только какой конкретно дыркой из имеющихся воспользовались. :)
     
  • 1.9, Аноним (-), 10:43, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    робот Google раскрыл хакинг сайта
     
     
  • 2.16, Аноним (-), 12:10, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    Так вот ты какой, интернет-антивирус. Хорошее начинание. Теперь осталось сделать сервис оперативного оповещения владельцев сайтов. Главное, чтоб не пытались в сайты зонды повнедрять.
     
     
  • 3.33, XoRe (ok), 14:14, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Так вот ты какой, интернет-антивирус.

    А и правда.
    [ ] Проверить только главную
    [ ] Проверить все js
    [x] Полная проверка сайта :)

     
  • 3.71, Харон (?), 14:19, 28/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Так есть сервис оперативного оповещения владельцев сайта. Только он работает для установивших Гугл-Аналитику.
     
  • 2.62, Baz (?), 05:08, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Так и вижу новость как пхп.нэт уволил половину админов и установил роботы гугла...
     
     
  • 3.63, бедный буратино (ok), 05:15, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Так и вижу новость как пхп.нэт уволил половину админов и установил роботы
    > гугла...

    Наверное, половину админа?

     

  • 1.10, Demo (??), 11:00, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Неудивительно.
     
  • 1.12, Аноним (12), 11:18, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    Мозила тоже заметила, так почему пишут только о Google? Пиар Пиарыч какой то
     
     
  • 2.13, Аноним (-), 11:36, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Мозила тоже заметила, так почему пишут только о Google? Пиар Пиарыч какой то

    Вы удивитесь, но в Firfox используется чёрный список Google.

     
  • 2.15, Аноним (-), 11:40, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Задайте в about:config в фильтр по слову safebrowsing, тогда вам станет ясно как именно  "заметила" Mozilla :-) Hint: Mozilla использует API http://safebrowsing.clients.google.com
     

  • 1.14, Наивный чукотский юноша (?), 11:37, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Неделя злорадства над php-шниками. Ждём результатов, интересно же, что проэксплуатировали. Дыра или банальный старый софт?
     
     
  • 2.17, бедный буратино (ok), 12:16, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    пардон, а в остальные недели что с ними делают?
     
     
  • 3.18, Наивный чукотский юноша (?), 12:24, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +8 +/
    ну так эта неделя объявлена официально.
     
     
  • 4.20, бедный буратино (ok), 12:44, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • –1 +/
    на openbsd пусть переходят. правда, в черезнедельном релизе будут только php 5.2 и php 5.3, зато безопасно :) в снапшотах - 5.4.20 и 5.5.4
     
     
  • 5.57, Michael Shigorin (ok), 23:29, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > на openbsd пусть переходят

    "only two remote holes in default install (which is unusable anyways)"?

     
     
  • 6.60, бедный буратино (ok), 04:55, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> на openbsd пусть переходят
    > "only two remote holes in default install (which is unusable anyways)"?

    чё? не нравится - пусть не переходят, только не ругайтесь.

    в default install нет php. зато там есть nginx, apache и perl. :)

     
     
  • 7.66, Michael Shigorin (ok), 19:49, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > в default install нет php. зато там есть nginx, apache и perl. :)

    И хде тот nginx болтается в default install, на самом хакоопасном направлении? :)

     
     
  • 8.67, бедный буратино (ok), 19:55, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Он нигде не болтается OpenBSD s new installer is designed to install and con... большой текст свёрнут, показать
     
  • 8.69, PereresusNeVlezaetBuggy (ok), 04:55, 27/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    В смысле Вот он, ставится рядом с Апачем С добавлением мелких плюшек, которых ... текст свёрнут, показать
     
     
  • 9.70, бедный буратино (ok), 05:14, 27/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я вижу Каждый Охотник Желает Знать Где Лежит rc conf local ... текст свёрнут, показать
     
  • 5.59, Аноним (-), 00:01, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > на openbsd пусть переходят.

    А если еще сетевой кабель и питание к серверу не подключать - хакеры уж точно обломаютя.

     
     
  • 6.61, бедный буратино (ok), 04:56, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> на openbsd пусть переходят.
    > А если еще сетевой кабель и питание к серверу не подключать -
    > хакеры уж точно обломаютя.

    Да, это был бы лучший выход. Но, боюсь, php.net на это не пойдёт.

     
  • 2.22, Аноним (-), 12:50, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Банальный дырявый старый неподдерживаемый софт
     
     
  • 3.28, Аноним (-), 13:46, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > Банальный дырявый старый неподдерживаемый софт

    Ну конечно, вас как админа не хватает на php.net, вот их и взломали.

     
     
  • 4.45, www2 (??), 18:42, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Диалоги анонимов умиляют. Как будто человек с раздвоением личности разговаривает сам с собой: сам сказал, сам оспорил.
     
  • 4.55, Аноним (-), 22:10, 25/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >Ну конечно, вас как админа не хватает на php.net, вот их и взломали.

    Ну конечно, устройте меня к ним на работу.

     

  • 1.21, robux (ok), 12:49, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > проекту явно повезло, что робот Google выполнил проверку

    Проекту явно повезло, что жучки внедрил не АНБ, иначе бы Google помалкивал.

     
     
  • 2.64, AdVv (ok), 12:13, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Это их разработка, нахрен еще что-то туда внедрять ;)
     

  • 1.34, XoRe (ok), 14:18, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    > файл подменяется и затем возвращается к исходному виду скриптом, запускаемым через cron

    Гениально!
    Нафиг грузить модули для apache, нафиг хакать nginx.
    Keep it Simple luke!

     
  • 1.37, Buy (ok), 16:10, 25/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > повезло, что робот Google выполнил проверку в момент отдачи вредоносной вставки

    А почему они не продают или не сдают в аренду своего робота? Например чтоб постоянно сайт мониторил? Ну, типа как Касперыч.

     
     
  • 2.65, Aleks Revo (ok), 17:15, 26/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А они таки не? Админка "webmaster" не всем доступна?
     

  • 1.72, Аноним (-), 14:48, 28/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Да ну нафик если честно по правде то Разводят сплетни для бабок на скамейки Ну... большой текст свёрнут, показать
     
     
  • 2.75, Michael Shigorin (ok), 16:58, 28/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > Да ну нафик если честно по правде то!

    Вы точно не температурите?  Огульным отрицанием проблемы не исправляются.

     
     
  • 3.76, Аноним (-), 15:56, 29/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А тут(в смысле ситуация с подменой скрипта посредством crond) и нет никакой проблем... зачем отрицать то, чего нет? Если уж говорить о проблеме, то тут проблема толька одна - это черный маркетинговый ход гугла. Если бы они по правде беспокоились о безопасности содержания сайтов в интернете, они бы прежде всего, как взрослые люди, опубликовали содержимое того самого подозрительного скрипта и специалист в статье прокомментировал подозрительные строки кода и привел наглядные примеры к чему может привести загрузка браузером этого скрипта. Так бы сделал любой взрослый человек. Но гугле не это надо было, еще раз повторяю, им надо было именно поднять шум о взломах и атаках, это привлекает внимание "бабулек на скамейке". Это и маркетинговая акция и черный пиар.
     
     
  • 4.77, Michael Shigorin (ok), 19:34, 29/10/2013 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > черный маркетинговый ход гугла.

    Причём роботов гугла, как понимаю.

    Дальнейшие излияния особенно драматически воспринимаются именно в этом свете.

     
     
  • 5.78, Аноним (-), 20:45, 29/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    А роботы сами себя наверно написали? Там прям такие роботы что таже не подчинятся людям... ай какая могущественная компания гугль. Велики программисты там работают, таких роботов написали что теперь не могут ими управлять. Вах шайтан.
     
     
  • 6.79, Michael Shigorin (ok), 14:27, 30/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > А роботы сами себя наверно написали?

    Вы серьёзно не понимаете разницы между конвейером и индивидуальным вниманием к каждому случаю?  Тогда лечитесь как-нить, и заодно от php, если это увлечение так повлияло.

    // disclaimer: грамотных php-шников знаю,
    // но они скорее в стаи вроде TYPO3/Drupal сбиваются

     
     
  • 7.80, Аноним (-), 19:30, 30/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    Я разницу хорошо понимаю. Но вы наверно еще лучше меня понимаете.
     
  • 2.82, arisu (ok), 06:24, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    чувак, ты или дебил, или упоротый. впрочем, не исключаю, что и то, и другое.
     

  • 1.73, Аноним (-), 15:03, 28/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Маркетологам Яндыкса бы тоже на заметку эту тактику стоило бы взять... А то щас правительство доделает за бюджетные средства бабулек новый поисковик и яндыксу кирдык настанет... а уж правительство то не упустит шанс и воспользуется приемами маркетологов гуглы... уж они то себя попиарят черным пиаром на славу, накормят бабулек сплетнями вдоволь, не зря же бабульки налоги платят, надо же бабкам то хоть чтото приятное сделать, ...а что может быть более приятно и интерсно "бабулькам на скамейке"? ...ну конечно же сплетни! Ну так вот и хавайте свою "информационную ханку".
     
     
  • 2.83, arisu (ok), 06:26, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    так и вижу бабулек на скамейке, обсуждающих «вредоносный скрипт на сайте php.net». а ещё они шипят на проходящего мимо молодого человека Петю: «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши годы гвестбуки на php писали — и порядок в стране был!»
     
     
  • 3.84, бедный буратино (ok), 06:44, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    > «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши
    > годы гвестбуки на php писали — и порядок в стране был!»

    так perl ещё никто не оскорблял :)

     
     
  • 4.85, arisu (ok), 07:13, 31/10/2013 [^] [^^] [^^^] [ответить]  
  • +/
    >> «ишь ты, ruby он использует! молодой да ранний! вот мы в ваши
    >> годы гвестбуки на php писали — и порядок в стране был!»
    > так perl ещё никто не оскорблял :)

    эти бабки матом не ругаются. прилюдно, по крайней мере. поэтому слово «перл» — табу.

     

  • 1.74, Аноним (-), 15:31, 28/10/2013 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У Гугла у самого там в инфраструктуре беспорядок, об этом они молчат, а как что гдето ктото фукнул, так они сразу шумиху поднимают.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    A-Real
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру