Hackeri narušili server PHP Git a vložili zadné vrátka do zdrojového kódu

Hackeri narušili server PHP Git a vložili zadné vrátka do zdrojového kódu

Hackeri narušili hlavné úložisko Git programovacieho jazyka PHP a do zdrojového kódu pridali zadné vrátka, ktoré by útočníkovi mohli poskytnúť prístup k miliónom serverov na celom svete.





externý pevný disk sa nezobrazuje na počítači

Napriek tomu, že to znie zle, hackeri tiež ponechali vývojárskemu tímu PHP obrovskú červenú vlajku, pravdepodobne ako varovanie týkajúce sa zraniteľnosti, a nie ako priame zneužitie.



Hackeri vložili zadné vrátka do zdrojového kódu PHP

Vývojový tím PHP bol uvoľnený oficiálne vyhlásenie potvrdzujúce porušenie zdrojového kódu v nedeľu 28. marca.





Vyhlásenie potvrdzuje, že zdrojový kód PHP bol skutočne porušený, pričom škodlivý kód bol presunutý na server PHP Git z účtov vedúcich vývojárov Rasmusa Lerdorfa a Nikity Popova.

Zadné vrátka, ktoré sa nedostali do výroby (to znamená, že neboli zverejnené na žiadnom serveri), by útočníkovi umožnili spustiť kód na akomkoľvek zraniteľnom serveri PHP. Poskytol by významný prístup k účastníkovi hrozieb a predstavoval by značné nebezpečenstvo pre milióny webových stránok, ktoré používajú programovací jazyk.



Súvisiace články: Ako manipulovať s textom v PHP pomocou týchto šikovných funkcií

Napriek tomu, že porušenie a odhalenie zraniteľnosti sú zlé, je zrejmé, že hackeri alebo hackeri nikdy nemali v úmysle, aby sa exploit zverejnil. Na spustenie škodlivého kódu by útok musel odoslať požiadavku na konkrétny reťazec s názvom zerodium .



Zerodium je názov známej služby makléra exploitov, kde môžu hackeri predávať exploity najvyššiemu záujemcovi. Zahrnutie názvu dodáva vierohodnosť myšlienke, že hackeri upozorňovali skôr na vývojový tím PHP než na aktívne zneužívanie zraniteľnosti.

Súvisiace: Zistite, ako distribuovať svoje balíky PHP pomocou Packagist



Vývoj PHP urobte ďalšie bezpečnostné opatrenia

V dôsledku porušenia vývojový tím PHP zmení spôsob, akým spravuje prístup k svojmu serveru Git, čím sa jeho úložiská GitHub stanú de facto kódovou základňou projektu, a nie iba zrkadlom, ako je tomu v súčasnosti.

google chrome zaberá príliš veľa pamäte

Aj keď vyšetrovanie stále prebieha, rozhodli sme sa, že údržba vlastnej infraštruktúry git je zbytočným bezpečnostným rizikom a že server git.php.net ukončíme. Úložiská na GitHub, ktoré boli predtým iba zrkadlami, sa namiesto toho stanú kanonickými. To znamená, že zmeny by mali byť odoslané priamo na GitHub, nie na git.php.net.

Po prepnutí budú tí, ktorí vyžadujú prístup do úložísk PHP, musieť kontaktovať vývojový tím priamo a požiadať o to.

Aj keď sa vývojový tím domnieva, že porušenie bolo kompromisom samotného servera Git, a nie individuálneho účtu, vývoj PHP oprávnene podniká ďalšie kroky, aby zaistil, že nedôjde k ďalším porušeniam.

môj reproduktor pre iphone nefunguje

Podľa W3Techs „Asi 80 percent všetkých webových stránok na internete používa nejakú formu PHP, takže ďalšie bezpečnostné opatrenia sú úplne zrozumiteľné.

zdieľam zdieľam Tweet E -mail Ako vytvoriť svoju prvú jednoduchú webovú stránku PHP

Chcete si vytvoriť webovú stránku, ale neviete, kde začať? Vytvorenie základnej webovej stránky v jazyku PHP vás zavedie na cestu vývoja webu.

Čítajte ďalej Súvisiace témy
  • Zabezpečenie
  • Tech News
  • Programovanie
  • GitHub
  • PHP
  • Zadné dvere
O autorovi Gavin Phillips(945 publikovaných článkov)

Gavin je juniorský editor pre Windows a vysvetlené technológie, pravidelný prispievateľ do skutočne užitočného podcastu a pravidelný recenzent produktov. Má súčasné písanie BA (Hons) s digitálnymi umeleckými postupmi vyplenené z kopcov Devonu a viac ako desať rokov profesionálnych skúseností s písaním. Má rád veľa čaju, stolné hry a futbal.

Viac od Gavina Phillipsa

prihlásiť sa ku odberu noviniek

Pripojte sa k nášmu bulletinu a získajte technické tipy, recenzie, bezplatné elektronické knihy a exkluzívne ponuky!

Kliknutím sem sa prihlásite na odber