به گزارش سافتگذر به نقل از مجله شبکه؛ گروه
مسئول و توسعهدهنده زبان اسکريپتنويسی PHP تأييد کرد خرابکاران به دو
دستگاه از سرورهای سايت رسمی php.net نفوذ کرده و از آن برای حمله به
بازديدکنندگان سايت استفاده کردهاند. سرويس امنيتی Google Safe Browsing
که جستوجوگر گوگل و مرورگرهای کروم و فايرفاکس نيز از آن بهره میبرند در
نخستين ساعات روز يکشنبه سايت php.net را در فهرست سياه خود قرار داد و
کاربران جستوجوگر گوگل، کروم و فايرفاکس را از دسترسی به اين سايت منع کرد
و بازديدکنندگان تا چند ساعت بهجای مشاهده سايت با پيغام هشدار سرويس
امنيتی فوق مواجه میشدند که به آنها میگفت سايت php.net حاوی بدافزار
است. در ابتدا گروه متولی PHP موسوم به PHP Group که اداره سايت رسمی اين
گروه را نيز بهعهده دارند تصور کردند که سرويس Google Safe Browsing در
بررسیهای خود دچار اشتباه شده و اين پيغام نيز ناشی از همين اشتباه است
اما بررسیهای بيشتر مشخص کرد که در يکی از فايلهای موجود روی سرور
تغييراتی صورت گرفتهاست و سرانجام وقوع اين حمله تأييد شد. گروه PHP همه
سرورهای سايت را وارسی کرد و دريافت که دو سرور مورد نفوذ قرار گرفتهاند.
دانيل پِک، از دانشمندان و پژوهشگران شرکت
باراکودا نتورکز (از فعالان عرصه امنيت، شبکه، و ذخيرهسازی) میگويد،
هکرها برای انجام اين حمله کدهای آلاينده جاوا اسکريپت را در فايل
userprefs.js در سايت php.net تزريق کردهاند. اين کد برای يک سايت از پيش
تعيينشده درخواستی ارسال میکرد حال آنکه سايت کذایی مرورگر
بازديدکنندگان را بررسی میکرد تا ببيند آيا در افزونهها (پلاگينها) فعال
بر روی مرورگر ضعف و رخنهای وجود دارد يا نه و اگر ضعف و رخنهای شناسایی
میشد به نصب يک بدافزار خاص اقدام میکرد. هنوز مشخص نيست بدافزار مذکور
چه برنامهای بودهاست اما تحليلهای باراکودا درباره اين حمله ادامه دارد.
بهگفته پک ابزارهای تحقيقاتی شرکت باراکودا عصر روز يکشنبه ترافيک ناشی
از وقوع حمله به سايت php.net را شناسایی کردند. باتوجه به اينکه بيشتر
حملهها در قالب فايلهای آلوده SWF شناسایی شدهاند بهنظر میرسد بخش
عمده حمله با سوءاستفاده از ضعفهای موجود در افزونه فلشپلير ادوبی
انجام شده باشد. علت حمله مهاجمان به اين سايت مشخص نيست. ممکن است از
جمله علل آن تعداد يا طيف خاص بازديدکنندگان سايت باشد. بيشتر
بازديدکنندگان سايت توسعهدهندگان و برنامهنويسان هستند و کامپيوترهای
آنها معمولاً حاوی کدهای منبع و برنامه و دادههای حساس ديگری همچون
اطلاعات ورود به وبسايتهای خاص خودشان باشد. از سوی ديگر سايت تحليلی
Alexa.com (که در تملک آمازون است) php.net را در رده 228 (هماکنون 227!)
پربازديدترين سايتهای جهان قرار دادهاست.