vahid5835
29th October 2013, 08:32 PM
گروه PHP حمله به سایت رسمی php.net را تأیید کرد
http://www.shabakeh-mag.com/Data/Articles/Items/2013/10/1008293.jpgبه نقل از مجله شبکه؛ گروه مسئول و توسعهدهنده زبان اسکریپتنویسی PHP تأیید کرد خرابکاران به دو دستگاه از سرورهای سایت رسمی php.net نفوذ کرده و از آن برای حمله به بازدیدکنندگان سایت استفاده کردهاند. سرویس امنیتی Google Safe Browsing که جستوجوگر گوگل و مرورگرهای کروم و فایرفاکس نیز از آن بهره میبرند در نخستین ساعات روز یکشنبه سایت php.net را در فهرست سیاه خود قرار داد و کاربران جستوجوگر گوگل، کروم و فایرفاکس را از دسترسی به این سایت منع کرد و بازدیدکنندگان تا چند ساعت بهجای مشاهده سایت با پیغام هشدار سرویس امنیتی فوق مواجه میشدند که به آنها میگفت سایت php.net حاوی بدافزار است. در ابتدا گروه متولی PHP موسوم به PHP Group که اداره سایت رسمی این گروه را نیز بهعهده دارند تصور کردند که سرویس Google Safe Browsing در بررسیهای خود دچار اشتباه شده و این پیغام نیز ناشی از همین اشتباه است اما بررسیهای بیشتر مشخص کرد که در یکی از فایلهای موجود روی سرور تغییراتی صورت گرفتهاست و سرانجام وقوع این حمله تأیید شد. گروه PHP همه سرورهای سایت را وارسی کرد و دریافت که دو سرور مورد نفوذ قرار گرفتهاند.
دانیل پِک، از دانشمندان و پژوهشگران شرکت باراکودا نتورکز (از فعالان عرصه امنیت، شبکه، و ذخیرهسازی) میگوید، هکرها برای انجام این حمله کدهای آلاینده جاوا اسکریپت را در فایل userprefs.js در سایت php.net تزریق کردهاند. این کد برای یک سایت از پیش تعیینشده درخواستی ارسال میکرد حال آنکه سایت کذایی مرورگر بازدیدکنندگان را بررسی میکرد تا ببیند آیا در افزونهها (پلاگینها) فعال بر روی مرورگر ضعف و رخنهای وجود دارد یا نه و اگر ضعف و رخنهای شناسایی میشد به نصب یک بدافزار خاص اقدام میکرد. هنوز مشخص نیست بدافزار مذکور چه برنامهای بودهاست اما تحلیلهای باراکودا درباره این حمله ادامه دارد. بهگفته پک ابزارهای تحقیقاتی شرکت باراکودا عصر روز یکشنبه ترافیک ناشی از وقوع حمله به سایت php.net را شناسایی کردند. باتوجه به اینکه بیشتر حملهها در قالب فایلهای آلوده SWF شناسایی شدهاند بهنظر میرسد بخش عمده حمله با سوءاستفاده از ضعفهای موجود در افزونه فلشپلیر ادوبی انجام شده باشد. علت حمله مهاجمان به این سایت مشخص نیست. ممکن است از جمله علل آن تعداد یا طیف خاص بازدیدکنندگان سایت باشد. بیشتر بازدیدکنندگان سایت توسعهدهندگان و برنامهنویسان هستند و کامپیوترهای آنها معمولاً حاوی کدهای منبع و برنامه و دادههای حساس دیگری همچون اطلاعات ورود به وبسایتهای خاص خودشان باشد. از سوی دیگر سایت تحلیلی Alexa.com (که در تملک آمازون است) php.net را در رده 228 (هماکنون 227!) پربازدیدترین سایتهای جهان قرار دادهاست.
http://www.shabakeh-mag.com/Data/Articles/Items/2013/10/1008293.jpgبه نقل از مجله شبکه؛ گروه مسئول و توسعهدهنده زبان اسکریپتنویسی PHP تأیید کرد خرابکاران به دو دستگاه از سرورهای سایت رسمی php.net نفوذ کرده و از آن برای حمله به بازدیدکنندگان سایت استفاده کردهاند. سرویس امنیتی Google Safe Browsing که جستوجوگر گوگل و مرورگرهای کروم و فایرفاکس نیز از آن بهره میبرند در نخستین ساعات روز یکشنبه سایت php.net را در فهرست سیاه خود قرار داد و کاربران جستوجوگر گوگل، کروم و فایرفاکس را از دسترسی به این سایت منع کرد و بازدیدکنندگان تا چند ساعت بهجای مشاهده سایت با پیغام هشدار سرویس امنیتی فوق مواجه میشدند که به آنها میگفت سایت php.net حاوی بدافزار است. در ابتدا گروه متولی PHP موسوم به PHP Group که اداره سایت رسمی این گروه را نیز بهعهده دارند تصور کردند که سرویس Google Safe Browsing در بررسیهای خود دچار اشتباه شده و این پیغام نیز ناشی از همین اشتباه است اما بررسیهای بیشتر مشخص کرد که در یکی از فایلهای موجود روی سرور تغییراتی صورت گرفتهاست و سرانجام وقوع این حمله تأیید شد. گروه PHP همه سرورهای سایت را وارسی کرد و دریافت که دو سرور مورد نفوذ قرار گرفتهاند.
دانیل پِک، از دانشمندان و پژوهشگران شرکت باراکودا نتورکز (از فعالان عرصه امنیت، شبکه، و ذخیرهسازی) میگوید، هکرها برای انجام این حمله کدهای آلاینده جاوا اسکریپت را در فایل userprefs.js در سایت php.net تزریق کردهاند. این کد برای یک سایت از پیش تعیینشده درخواستی ارسال میکرد حال آنکه سایت کذایی مرورگر بازدیدکنندگان را بررسی میکرد تا ببیند آیا در افزونهها (پلاگینها) فعال بر روی مرورگر ضعف و رخنهای وجود دارد یا نه و اگر ضعف و رخنهای شناسایی میشد به نصب یک بدافزار خاص اقدام میکرد. هنوز مشخص نیست بدافزار مذکور چه برنامهای بودهاست اما تحلیلهای باراکودا درباره این حمله ادامه دارد. بهگفته پک ابزارهای تحقیقاتی شرکت باراکودا عصر روز یکشنبه ترافیک ناشی از وقوع حمله به سایت php.net را شناسایی کردند. باتوجه به اینکه بیشتر حملهها در قالب فایلهای آلوده SWF شناسایی شدهاند بهنظر میرسد بخش عمده حمله با سوءاستفاده از ضعفهای موجود در افزونه فلشپلیر ادوبی انجام شده باشد. علت حمله مهاجمان به این سایت مشخص نیست. ممکن است از جمله علل آن تعداد یا طیف خاص بازدیدکنندگان سایت باشد. بیشتر بازدیدکنندگان سایت توسعهدهندگان و برنامهنویسان هستند و کامپیوترهای آنها معمولاً حاوی کدهای منبع و برنامه و دادههای حساس دیگری همچون اطلاعات ورود به وبسایتهای خاص خودشان باشد. از سوی دیگر سایت تحلیلی Alexa.com (که در تملک آمازون است) php.net را در رده 228 (هماکنون 227!) پربازدیدترین سایتهای جهان قرار دادهاست.