可怕, PHP 源码差点就被嵌入后门

2021-04-02 18:20:58 +08:00
 chengshilieren
今天我看到新闻,PHP 的 Git 服务器被黑客入侵 试图提交后门代码....

事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码

PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
3410 次点击
所在节点    程序员
11 条回复
laqow
2021-04-02 18:38:13 +08:00
php 还是 5.X 的完全不慌
hoyixi
2021-04-02 18:42:44 +08:00
有时候,安全问题没人在意,非得来一下,才能长记性。
chengshilieren
2021-04-02 18:54:27 +08:00
@hoyixi 是啊,我曾经在腾讯云购买了云点播服务,API 没有做任何安全保护,然后密钥泄露了,就被人刷了几百 G 流量,钱还是得自己付,那次以后就很谨慎了,😄
Tink
2021-04-02 19:01:10 +08:00
有点害怕
BeautifulSoap
2021-04-02 19:07:44 +08:00
说详细点就是,这次被攻击是因为 PHP 自建的 Git 服务器可能出现了还不为人知的漏洞,黑客可以伪造成组织内成员的身份体检代码了

所以在出了这次事情之后,PHP 官方做出了一个艰难的决定——不再自己维护 git 服务器,而是转移到 Github 上

论自建服务的安全问题
BeautifulSoap
2021-04-02 19:08:14 +08:00
@BeautifulSoap 体验代码 -> 提交代码
chengshilieren
2021-04-02 19:11:55 +08:00
@BeautifulSoap 国内自建 git 的公司不多吧,安全第一啊,购买 gitee 或者 github 企业版
asuraa
2021-04-02 19:37:03 +08:00
5.3 表示情绪十分稳定
CismonX
2021-04-02 20:24:04 +08:00
@BeautifulSoap

单纯依赖大平台永远不是最安全的做法。即使是 GitHub 这种体量的代码托管平台,也会存在漏洞。比如著名的 ROR 仓库被黑事件: https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa393e6dc57

相对安全的做法,是在 CI/CD 阶段 double check,确保每个 commit 都有被信任的签名。同时提交者也应该对自己的提交负责,并妥善保管个人开发设备和私钥。这样就能将损失降到最低。这其实和代码托管平台无关,大到企业项目,小到个人玩具,都要有这样的安全意识。
JJstyle
2021-04-02 20:47:56 +08:00
@chengshilieren 据我所知,国内自建 gitlab 挺多的
industryhive
2021-04-02 23:04:20 +08:00
自建 git 服务风险和成本还是太高了,java 也开始把 jdk 源码托管到 GitHub 上了。。。go 直接把 GitHub 当仓库了。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/767636

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX