اخیرا به سایت PHP.net رفته اید؟ احتمالا آلوده شده اید!
بازدیدکنندگان از سایت رسمی PHP (زبان برنامه نویسی) در چند روز اخیر احتمالا کامپیوترشان آلوده به نوعی بدافزار شده است.
نفوذگران توانسته اند با رخنه به سایت رسمی php.net یکی از فایل های این سایت، به نام userprefs.js، را آلوده به یک برنامه مخرب JavaScript کنند. این برنامه مخرب با مراجعه به یک سایت خاص و اجرای یک ابزار، اقدام به شناسایی نقاط ضعف مرورگر کامپیوتر قربانی می کند. سپس با سوء استفاده از نقاط ضعف شناسایی شده، یک نوع بدافزار را نصب و فعال می نماید.
در حال حاضر جزئیات زیادی درباره نوع بدافزار در دسترس نیست. ولی این بدافزار پس از فعال شدن بر روی کامپیوتر قربانی، سعی می کند تا با بیش از 30 سرور فرماندهی ارتباط برقرار کند. در نمونه های مشاهده شده، این بدافزار قادر به برقراری ارتباط با حداقل چهار مرکز می باشد.
سایت php.net در روزهای اخیر توسط مرورگرهای Chrome و Firefox بعنوان سایت مخرب و آلوده، شناسایی شده و کاربر را از مراجعه به آن منع می کردند. جستجوگر Google سرویسی تحت نام Google Safe Browsing دارد که سایت های مخرب و آلوده به بدافزار را شناسایی می نماید. مرورگرهای Chrome و Firefox از این سرویس استفاده می کنند.
در ابتدا تصور می شد که جستجوگر Google دچار خطا شده و به اشتباه سایت php.net را مسدود کرده است. حتی موسسه PHP Group که مسئول نگهداری سایت رسمی php.net و توزیع کننده بسته های نرم افزاری PHP است، در ابتدا با انتشار اطلاعیه ای، آلوده معرفی شدن سایت را به حساب خطای سرویس Google گذاشت. ولی در بررسی های بعدی مشخص شد که فایل userprefs.js به دفعات تغییر داده شده و این تغییرات ناشی از نفوذ و دسترسی غیرمجاز به سایت php.net بوده است.
هنوز مشخص نیست که دلیل انتخاب سایت PHP.net و حمله به آن چه بوده است. سایت php.net دارای رتبه 228 در بین سایت های اینترنتی پربازدید کننده جهان می باشد. لذا احتمال داده می شود که تعداد زیاد مراجعین به سایت، یکی از دلایل هدف قرار گرفتن php.net توسط نفوذگران بوده باشد. همچنین باید به خاطر داشت که بیشتر مراجعه کنندگان به سایت php.net برنامه نویسان و تولیدکنندگان نرم افزار هستند و آلوده شدن کامپیوتر این نوع کاربران می تواند خطرات و صدمات بیشتری در مقایسه با کاربران عادی داشته باشد.
به نظر می رسد که به دلیل عملات یکسان سازی (synchronization) فایلها برروی سرورهای مختلف PHP، فایل آلوده userprefs.js دائما با نسخه سالم و اصلی جایگزین می شده است. لذا احتمال و میزان آلوده شدن مراجعه کنندگان به سایت نیز محدود شده است.
