V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
chengshilieren
V2EX  ›  程序员

可怕, PHP 源码差点就被嵌入后门

  •  
  •   chengshilieren · 2021-04-02 18:20:58 +08:00 · 3408 次点击
    这是一个创建于 1331 天前的主题,其中的信息可能已经有所发展或是发生改变。
    今天我看到新闻,PHP 的 Git 服务器被黑客入侵 试图提交后门代码....

    事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码

    PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
    11 条回复    2021-04-02 23:04:20 +08:00
    laqow
        1
    laqow  
       2021-04-02 18:38:13 +08:00 via Android
    php 还是 5.X 的完全不慌
    hoyixi
        2
    hoyixi  
       2021-04-02 18:42:44 +08:00
    有时候,安全问题没人在意,非得来一下,才能长记性。
    chengshilieren
        3
    chengshilieren  
    OP
       2021-04-02 18:54:27 +08:00
    @hoyixi 是啊,我曾经在腾讯云购买了云点播服务,API 没有做任何安全保护,然后密钥泄露了,就被人刷了几百 G 流量,钱还是得自己付,那次以后就很谨慎了,😄
    Tink
        4
    Tink  
       2021-04-02 19:01:10 +08:00 via Android
    有点害怕
    BeautifulSoap
        5
    BeautifulSoap  
       2021-04-02 19:07:44 +08:00   ❤️ 1
    说详细点就是,这次被攻击是因为 PHP 自建的 Git 服务器可能出现了还不为人知的漏洞,黑客可以伪造成组织内成员的身份体检代码了

    所以在出了这次事情之后,PHP 官方做出了一个艰难的决定——不再自己维护 git 服务器,而是转移到 Github 上

    论自建服务的安全问题
    BeautifulSoap
        6
    BeautifulSoap  
       2021-04-02 19:08:14 +08:00
    @BeautifulSoap 体验代码 -> 提交代码
    chengshilieren
        7
    chengshilieren  
    OP
       2021-04-02 19:11:55 +08:00
    @BeautifulSoap 国内自建 git 的公司不多吧,安全第一啊,购买 gitee 或者 github 企业版
    asuraa
        8
    asuraa  
       2021-04-02 19:37:03 +08:00
    5.3 表示情绪十分稳定
    CismonX
        9
    CismonX  
       2021-04-02 20:24:04 +08:00
    @BeautifulSoap

    单纯依赖大平台永远不是最安全的做法。即使是 GitHub 这种体量的代码托管平台,也会存在漏洞。比如著名的 ROR 仓库被黑事件: https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa393e6dc57

    相对安全的做法,是在 CI/CD 阶段 double check,确保每个 commit 都有被信任的签名。同时提交者也应该对自己的提交负责,并妥善保管个人开发设备和私钥。这样就能将损失降到最低。这其实和代码托管平台无关,大到企业项目,小到个人玩具,都要有这样的安全意识。
    JJstyle
        10
    JJstyle  
       2021-04-02 20:47:56 +08:00 via iPhone
    @chengshilieren 据我所知,国内自建 gitlab 挺多的
    industryhive
        11
    industryhive  
       2021-04-02 23:04:20 +08:00
    自建 git 服务风险和成本还是太高了,java 也开始把 jdk 源码托管到 GitHub 上了。。。go 直接把 GitHub 当仓库了。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2202 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 01:31 · PVG 09:31 · LAX 17:31 · JFK 20:31
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.