Home-theater-designers
Hakerzy włamali się do głównego repozytorium Git języka programowania PHP, dodając backdoora do kodu źródłowego, który może umożliwić atakującemu dostęp do milionów serwerów na całym świecie.
czy powinienem pobrać 64 czy 32 bity?
Jakkolwiek źle to brzmi, hakerzy pozostawili również gigantyczną czerwoną flagę dla zespołu programistów PHP, prawdopodobnie jako ostrzeżenie dotyczące luki w zabezpieczeniach, a nie jako bezpośredni exploit.
Hakerzy wstawiają backdoora do kodu źródłowego PHP
Zespół programistów PHP zwolniony oficjalne oświadczenie potwierdzający naruszenie kodu źródłowego w niedzielę, 28 marca.
Oświadczenie potwierdza, że rzeczywiście doszło do naruszenia kodu źródłowego PHP, a szkodliwy kod został wypchnięty na serwer PHP Git z kont głównych programistów Rasmusa Lerdorfa i Nikity Popowa.
Backdoor, który nie trafił do produkcji (co oznacza, że nie został uruchomiony na żadnym serwerze), umożliwiłby atakującemu wykonanie kodu na dowolnym podatnym serwerze PHP. Umożliwiłoby to znaczący dostęp podmiotowi zajmującemu się zagrożeniem i stanowiłoby poważne zagrożenie dla milionów stron internetowych, które używają języka programowania.
Powiązane: Jak manipulować tekstem w PHP za pomocą tych przydatnych funkcji
Jednak chociaż naruszenie i ujawnienie luki w zabezpieczeniach są złe, jasne jest, że haker lub hakerzy nigdy nie zamierzali uruchomić exploita. Aby uruchomić złośliwy kod, atak musiałby wysłać żądanie do określonego ciągu o nazwie zerod .
Zerodium to nazwa dobrze znanej usługi brokera exploitów, w której hakerzy mogą sprzedawać exploity temu, kto zaoferuje najwyższą cenę. Włączenie nazwy uwiarygadnia pomysł, że hakerzy zwracali uwagę na zespół programistów PHP, zamiast aktywnie wykorzystywać lukę.
Związane z: Dowiedz się, jak rozpowszechniać swoje pakiety PHP za pomocą Packagist
Rozwój PHP Podejmij dodatkowe kroki w zakresie bezpieczeństwa
W wyniku naruszenia zespół programistów PHP zmieni sposób zarządzania dostępem do swojego serwera Git, czyniąc repozytoria GitHub de facto bazą kodu projektu, a nie tylko lustrzanym odbiciem, jak to jest obecnie.
Sharp Roku pilot do telewizora nie działa
Podczas gdy dochodzenie jest nadal w toku, zdecydowaliśmy, że utrzymywanie naszej własnej infrastruktury git jest niepotrzebnym zagrożeniem bezpieczeństwa i że zaprzestaniemy działania serwera git.php.net. Zamiast tego repozytoria na GitHubie, które wcześniej były tylko serwerami lustrzanymi, staną się kanoniczne. Oznacza to, że zmiany powinny być przesyłane bezpośrednio do GitHub, a nie do git.php.net.
Po zmianie, osoby potrzebujące dostępu do repozytoriów PHP będą musiały skontaktować się bezpośrednio z zespołem programistów, aby złożyć wniosek.
Chociaż zespół programistów uważa, że naruszenie było naruszeniem samego serwera Git, a nie indywidualnego konta, programiści PHP słusznie podejmują dodatkowe kroki, aby upewnić się, że nie ma dalszych naruszeń.
uaktualnij Windows XP do Windows 7
Według W3Techs , około 80 procent wszystkich witryn w Internecie używa jakiejś formy PHP, więc dodatkowe kroki bezpieczeństwa są całkowicie zrozumiałe.
Udział Udział Ćwierkać E-mail Jak zbudować swoją pierwszą prostą witrynę PHP?Chcesz zbudować stronę internetową, ale nie wiesz od czego zacząć? Stworzenie podstawowej strony w PHP wprowadzi Cię na drogę do tworzenia stron internetowych.
Czytaj dalej Powiązane tematy- Bezpieczeństwo
- Wiadomości techniczne
- Programowanie
- GitHub
- PHP
- Tylne drzwi
Gavin jest młodszym redaktorem ds. Windows i technologii Explained, stałym współpracownikiem podcastu Really Useful i regularnym recenzentem produktów. Posiada tytuł licencjata (z wyróżnieniem) współczesnego pisania z praktykami sztuki cyfrowej splądrowanej ze wzgórz Devon, a także ponad dziesięcioletnie doświadczenie zawodowe w pisaniu. Lubi obfite ilości herbaty, gry planszowe i piłkę nożną.
Więcej od Gavina PhillipsaZapisz się do naszego newslettera
Dołącz do naszego newslettera, aby otrzymywać porady techniczne, recenzje, bezpłatne e-booki i ekskluzywne oferty!
Kliknij tutaj, aby zasubskrybować