Home-theater-designers
Tin tặc đã xâm phạm kho lưu trữ Git chính của ngôn ngữ lập trình PHP, thêm một cửa sau vào mã nguồn có thể cho phép kẻ tấn công truy cập vào hàng triệu máy chủ trên toàn thế giới.
cách tốt nhất để quét ảnh cũ
Tuy nhiên, điều đó nghe có vẻ tệ hại, các tin tặc cũng để lại một lá cờ đỏ khổng lồ cho nhóm phát triển PHP, có lẽ là một lời cảnh báo liên quan đến lỗ hổng bảo mật hơn là khai thác trực tiếp.
Tin tặc Chèn Backdoor vào Mã nguồn PHP
Nhóm phát triển PHP đã phát hành một tuyên bố chính thức xác nhận vi phạm mã nguồn vào Chủ nhật, ngày 28 tháng 3.
Tuyên bố xác nhận rằng mã nguồn PHP thực sự đã bị vi phạm, với mã độc được đẩy đến máy chủ PHP Git từ tài khoản của các nhà phát triển chính Rasmus Lerdorf và Nikita Popov.
Backdoor, chưa được đưa vào sản xuất (có nghĩa là nó chưa được đưa trực tiếp đến bất kỳ máy chủ nào), sẽ cho phép kẻ tấn công thực thi mã trên bất kỳ máy chủ PHP nào dễ bị tấn công. Nó sẽ cấp quyền truy cập đáng kể cho tác nhân đe dọa và gây nguy hiểm đáng kể cho hàng triệu trang web sử dụng ngôn ngữ lập trình.
Liên quan: Cách thao tác văn bản trong PHP với các hàm tiện dụng này
Tuy nhiên, trong khi việc vi phạm và phơi bày lỗ hổng là xấu, rõ ràng là tin tặc hoặc các tin tặc không bao giờ có ý định khai thác hoạt động. Để kích hoạt mã độc hại, một cuộc tấn công sẽ phải gửi một yêu cầu đến một chuỗi cụ thể có tên zerodium .
Zerodium là tên của một dịch vụ môi giới khai thác nổi tiếng, nơi tin tặc có thể bán khai thác cho người trả giá cao nhất. Việc bao gồm tên này cho thấy sự tin cậy cho rằng các tin tặc đang kêu gọi sự chú ý đến nhóm phát triển PHP hơn là tích cực khai thác lỗ hổng.
Có liên quan: Tìm hiểu cách phân phối các gói PHP của bạn với Packagist
Phát triển PHP Thực hiện thêm các bước bảo mật
Do vi phạm, nhóm phát triển PHP sẽ thay đổi cách quản lý quyền truy cập vào máy chủ Git của mình, biến các kho lưu trữ GitHub của họ trở thành cơ sở mã thực tế cho dự án, thay vì chỉ là một máy nhân bản như hiện tại.
làm thế nào để xem TV trên máy tính của bạn
Trong khi [cuộc điều tra] vẫn đang được tiến hành, chúng tôi đã quyết định rằng việc duy trì cơ sở hạ tầng git của riêng chúng tôi là một rủi ro bảo mật không cần thiết và chúng tôi sẽ ngừng cung cấp máy chủ git.php.net. Thay vào đó, các kho lưu trữ trên GitHub, trước đây chỉ là bản sao, sẽ trở thành chính tắc. Điều này có nghĩa là các thay đổi phải được đẩy trực tiếp đến GitHub thay vì tới git.php.net.
Sau khi chuyển đổi, những người yêu cầu quyền truy cập vào kho PHP sẽ phải liên hệ trực tiếp với nhóm phát triển để đưa ra yêu cầu.
Mặc dù nhóm phát triển tin rằng vi phạm là sự thỏa hiệp của chính máy chủ Git, chứ không phải là một tài khoản cá nhân, việc phát triển PHP đang thực hiện các bước bổ sung một cách hợp lý để đảm bảo không có vi phạm nào nữa.
cách lấy rom để chỉnh sửa lại
Dựa theo W3Techs , khoảng 80 phần trăm tất cả các trang web trên internet sử dụng một số dạng PHP, vì vậy các bước bảo mật bổ sung là hoàn toàn dễ hiểu.
Đăng lại Đăng lại tiếng riu ríu E-mail Cách xây dựng trang web PHP đơn giản đầu tiên của bạnMuốn xây dựng một trang web nhưng không biết bắt đầu từ đâu? Tạo một trang web PHP cơ bản sẽ đưa bạn đến con đường phát triển web.
Đọc tiếp Chủ đề liên quan- Bảo vệ
- Tin tức công nghệ
- Lập trình
- GitHub
- PHP
- Cửa sau
Gavin là Junior Editor cho Windows and Technology Explained, người đóng góp thường xuyên cho Podcast Thực sự Hữu ích và là người đánh giá sản phẩm thường xuyên. Anh ấy có bằng Cử nhân (Hons) Viết đương đại với Thực hành nghệ thuật kỹ thuật số bị cướp đoạt từ những ngọn đồi của Devon, cũng như hơn một thập kỷ kinh nghiệm viết văn chuyên nghiệp. Anh ấy thích uống nhiều trà, trò chơi trên bàn và bóng đá.
Xem thêm từ Gavin PhillipsTheo dõi bản tin của chúng tôi
Tham gia bản tin của chúng tôi để biết các mẹo công nghệ, đánh giá, sách điện tử miễn phí và các ưu đãi độc quyền!
Bấm vào đây để đăng ký