Хакеры взломали основной репозиторий Git языка программирования PHP, добавив в исходный код бэкдор, который может позволить злоумышленнику получить доступ к миллионам серверов по всему миру.
текст автоответчика samsung galaxy s8
Однако, как бы плохо это ни звучало, хакеры также оставили гигантский красный флаг для команды разработчиков PHP, предположительно в качестве предупреждения об уязвимости, а не в качестве прямого эксплойта.
Хакеры вставляют бэкдор в исходный код PHP
Команда разработчиков PHP выпустила официальное заявление подтверждение нарушения исходного кода в воскресенье, 28 марта.
В заявлении подтверждается, что исходный код PHP действительно был взломан, и вредоносный код был отправлен на сервер PHP Git со счетов ведущих разработчиков Расмуса Лердорфа и Никиты Попова.
Бэкдор, который не попал в производство (то есть он не был загружен вживую на какие-либо серверы), позволил бы злоумышленнику выполнить код на любом уязвимом сервере PHP. Это предоставит серьезный доступ к злоумышленнику и представляет значительную опасность для миллионов веб-сайтов, использующих этот язык программирования.
Связанный: Как управлять текстом в PHP с помощью этих удобных функций
Однако, хотя взлом и раскрытие уязвимости плохи, очевидно, что хакер или хакеры никогда не намеревались запускать эксплойт. Чтобы запустить вредоносный код, атака должна отправить запрос на определенную строку с именем нулевой .
Zerodium - это название известного брокерского сервиса эксплойтов, где хакеры могут продавать эксплойты тому, кто больше заплатит. Включение названия подтверждает идею о том, что хакеры привлекали внимание к команде разработчиков PHP, а не активно использовали уязвимость.
Связанный: Узнайте, как распространять пакеты PHP с помощью Packagist
Разработка PHP предпринять дополнительные меры безопасности
В результате взлома команда разработчиков PHP изменит способ управления доступом к своему серверу Git, сделав репозитории GitHub де-факто базой кода для проекта, а не просто зеркалом, как сейчас.
Windows 10 Wi-Fi не имеет допустимой конфигурации IP
Хотя расследование все еще продолжается, мы решили, что поддержка нашей собственной инфраструктуры git представляет собой ненужную угрозу безопасности, и что мы прекратим поддержку сервера git.php.net. Вместо этого репозитории на GitHub, которые раньше были только зеркалами, станут каноническими. Это означает, что изменения следует отправлять непосредственно на GitHub, а не на git.php.net.
После переключения те, кому требуется доступ к репозиториям PHP, должны будут напрямую связаться с командой разработчиков, чтобы сделать запрос.
Хотя команда разработчиков считает, что нарушение было взломом самого сервера Git, а не отдельной учетной записи, разработка PHP по праву предпринимает дополнительные шаги, чтобы гарантировать отсутствие дальнейших нарушений.
подключен к интернету, но нет интернета
В соответствии с W3Techs , около 80 процентов всех сайтов в Интернете используют ту или иную форму PHP, поэтому дополнительные меры безопасности полностью понятны.
Делиться Делиться Твитнуть Эл. адрес Как создать свой первый простой веб-сайт на PHPХотите создать веб-сайт, но не знаете, с чего начать? Создание базового веб-сайта на PHP отправит вас на путь веб-разработки.
Читать далее Похожие темы- Безопасность
- Новости техники
- Программирование
- GitHub
- PHP
- Черный ход
Гэвин - младший редактор отдела Windows and Technology Explained, постоянный участник Really Useful Podcast и регулярный обозреватель продуктов. У него есть степень бакалавра (с отличием) в области современного письма с использованием методов цифрового искусства, разграбленных на холмах Девона, а также более десяти лет профессионального писательского опыта. Он любит много пить чая, настольные игры и футбол.
Ещё от Gavin PhillipsПодписывайтесь на нашу новостную рассылку
Подпишитесь на нашу рассылку технических советов, обзоров, бесплатных электронных книг и эксклюзивных предложений!
Нажмите здесь, чтобы подписаться