突发!PHP服务器被攻击,恶意代码合入git仓库,PHP还是世界上最好的语言吗?

新智元

共 1860字,需浏览 4分钟

 ·

2021-03-30 13:15



  新智元报道  

来源:GitHub

编辑:LRS、小匀

【新智元导读】PHP的git服务器被攻击了,合入了两个恶意commit,nikic发信称将迁移仓库到GitHub上。代码中竟然包括「Zerodium」,莫非背后有什么交易?


PHP的一名贡献者Nikita Popov (网名nikic)公开发信称,php的git服务器被黑客攻入。

 

nikic是PHP的主要contributor,目前在Jetbrains旗下的PhpStorm项目工作,并且开发过许多PHP的开源库。他也是LLVM项目的开发者。

 

 

信中说3月28日晚上,两个恶意的commit提交到了php-src仓库中,以Rasmus Lerdorf和nikic的名义提交。

 

虽然目前还不知道黑客是如何攻入PHP的离线git服务器git.php.net,但服务器确实存在安全隐患。

 

为了防止今后再发生类似的事件,git.php.net服务器将会关停,目前仍可访问。

 

 

以前php-src在GitHub上的仓库仅作为镜像使用,今后的修改将直接提交到GitHub上。

 

如果还没有申请GitHub仓库上PHP组织的权限,则需要联系nikic申请。

 

在GitHub上的提交都要开启2FA(双重身份验证)认证。

 

 

在开启2FA后,每次需要移动设备来额外验证一次身份,通过扫描二维码获取验证码。

 

 

恶意提交


名为「fix typo」上的一次提交于两天前。

 

增加了几行代码,如果字符串以「zerodium」开头,则会攻击用户的服务器,日期标注为mid 2017,并表示这个漏洞卖给了zerodium。

 

 

Zerodium是一家关注信息安全的美国公司,成立于2015年,总部位于华盛顿和欧洲,它的主要业务是从安全研究人员手中第一时间获取攻击信息。

 

Zerodium的CEO发推特表示「我是清白的」。显然,发现这个bug的研究人员想把这个漏洞卖给其他公司,但是没人想买。

 

 

Reddit网友表示,这作案手段也太明显了。

 

 

根据Web Technology Surveys的调查结果显示,超过80%的网站都在使用PHP,例如WordPress等。


这个小「失误」会影响到PHP的地位吗?


参考资料:

https://news-web.php.net/php.internals/113838


上云赋智,AI新家!

 

2021年3月31日(周三),首期AI家主题论坛——「创新之都 AI赋智」由新智元创始人杨静主持,中关村软件园总经理张金辉到场致辞,主题演讲环节荣幸邀请到达闼科技创始人&CEO黄晓庆、科大讯飞执行总裁胡郁、英伟达亚太区副总裁潘迪等AI科研产业先锋,分享「5G上云  AI赋智」的精彩案例。现场还有达闼云端机器人Ginger小姜与大家进行精彩互动,还将根据新智元创新指数研究,公布「2020 AI Era 创新大奖」!(特邀合作嘉宾清华大学新闻学院沈阳教授致辞)

 

新征程,新跨越,新智元&达闼科技邀你在新浪直播平台一同见证!扫描下方二维码,获取视频直播、图片云直播!


浏览 8
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报