突发!PHP服务器被攻击,恶意代码合入git仓库
本文转载自 新智元
PHP的git服务器被攻击了,合入了两个恶意commit,nikic发信称将迁移仓库到GitHub上。代码中竟然包括「Zerodium」,莫非背后有什么交易?
PHP的一名贡献者Nikita Popov (网名nikic)公开发信称,php的git服务器被黑客攻入。
nikic是PHP的主要contributor,目前在Jetbrains旗下的PhpStorm项目工作,并且开发过许多PHP的开源库。他也是LLVM项目的开发者。
信中说3月28日晚上,两个恶意的commit提交到了php-src仓库中,以Rasmus Lerdorf和nikic的名义提交。
虽然目前还不知道黑客是如何攻入PHP的离线git服务器git.php.net,但服务器确实存在安全隐患。
为了防止今后再发生类似的事件,git.php.net服务器将会关停,目前仍可访问。
以前php-src在GitHub上的仓库仅作为镜像使用,今后的修改将直接提交到GitHub上。
如果还没有申请GitHub仓库上PHP组织的权限,则需要联系nikic申请。
在GitHub上的提交都要开启2FA(双重身份验证)认证。
在开启2FA后,每次需要移动设备来额外验证一次身份,通过扫描二维码获取验证码。
恶意提交
名为「fix typo」上的一次提交于两天前。
增加了几行代码,如果字符串以「zerodium」开头,则会攻击用户的服务器,日期标注为mid 2017,并表示这个漏洞卖给了zerodium。
Zerodium是一家关注信息安全的美国公司,成立于2015年,总部位于华盛顿和欧洲,它的主要业务是从安全研究人员手中第一时间获取攻击信息。
Zerodium的CEO发推特表示「我是清白的」。显然,发现这个bug的研究人员想把这个漏洞卖给其他公司,但是没人想买。
Reddit网友表示,这作案手段也太明显了。
根据Web Technology Surveys的调查结果显示,超过80%的网站都在使用PHP,例如WordPress等。
这个小「失误」会影响到PHP的地位吗?
参考资料:
https://news-web.php.net/php.internals/113838
突发!PHP服务器被攻击,恶意代码合入git仓库相关推荐
- 云和恩墨加入openGauss技术委员会,社区代码合入量名列前茅
2021年12月28日,以"汇聚数据库创新力量 逐梦数字时代星辰大海"为主题的 openGauss Summit 2021在北京线上线下同步举办.大会现场,openGauss社区理 ...
- git 命令之本地的代码托管到git仓库
一直在本地写一个demo项目,想用git命令托管到自己的git远程仓库上去,平时习惯用source tree,但是source tree的账号目前用的是公司的另外一个账户,暂时不想切换.所以琢磨着用g ...
- 提交代码到远程GIT仓库,代码自动同步到远程服务器上。
现在一般都会通过github,gitlab,gitee来管理我们的代码.我们希望只要我本地push了代码,远程服务器能自动拉取git仓库的代码,进行同步. 这就需要用到各仓库为我们提供的webhook ...
- 【idea 2021.2】如何将idea中的代码推到git仓库中(最新详细版)
一.准备好要推到git上的本地代码 如果我们的代码只在本地运行并没有连接远程git仓库,那idea的菜单栏是有所不同的 没有连接远程仓库的idea菜单栏: 连接了远程仓库的idea菜单栏: 可以看出是 ...
- 将代码从一个git仓库到另一个git仓库
业务场景: 因为内部整理代码,需要将之前的A仓库代码迁移到新的B仓库中,其中B是一个新仓库啥都没有,A有master.dev.bug-fix三个分支,需要将A中的三个分支全部迁移到B仓库中. 使用命令 ...
- LWN: Linux 5.3合入窗口进展 part 1
点击上方蓝色字关注我们~ 5.3 Merge window, part 1 By Jonathan Corbet July 12, 2019 在Janathan撰写此文的时候,已经有6666个patc ...
- 恶意代码Lab11-03分析
Lab 11-3 分析恶意代码Lab11-03.exe和Lab11-03.dll.确保这两个文件在分析时位于同一个目录中. 问题 1. 使用基础的静态分析过程,你可以发现什么有趣的线索? 我们先来看e ...
- 恶意代码分析实战 8 恶意代码行为
8.1 Lab 11-01 代码分析 首先使用strings进行分析. Gina是在 msgina.dll中的. 很多有关资源的函数. 关于注册表的函数. 使用ResourceHacker查看. 发现 ...
- LWN: folio 改动未能合入!
关注了就能看到更多这么棒的文章哦- The folio pull-request pushback By Jonathan Corbet September 10, 2021 DeepL assist ...
最新文章
- JetBrains 第二轮:再为免费全家桶续命三个月
- Matlab和Python(Numpy,Scipy)与Lapack的关系
- 卧槽!微信可以改彩色昵称了!又get一个撩妹小技巧 ~~
- 【tensorflow】——创建tensor的方法
- 详解vue生命周期及每个阶段适合进行的操作
- bzoj 3196/tyvj p1730 二逼平衡树
- 13款WordPress使用必装插件
- Silverlight+WCF 新手实例 象棋 棋子移动-规则补充(三十七)
- 全球网络波动实时监控系统--网动仪
- Lipschitz(利普希茨)连续
- iText7高级教程之html2pdf——6.在pdfHTML中使用字体
- 报错:org.springframework.security.web.firewall.RequestRejectedException: The request was not ......
- 个人云服务器系统设计,个人云服务器系统设计
- Java从零开始实现导出excel(一)
- 性能测试跑分软件,专业测试软件 性能跑分有多强
- 这篇文章教你把word文件转为图片
- PHP源码分析(内存管理)
- 甲骨文收购kuku后首个完整财季净利润同比增25%
- 微信公众号网页授权----redirect_uri域名与后台配置不一致,错误码10003 错误
- 会展附近的计算机学校,国内会展硕士与博士点汇总