这是一个创建于 1316 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天我看到新闻,PHP 的 Git 服务器被黑客入侵 试图提交后门代码....
事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码
PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码
PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
 |
1
laqow 2021-04-02 18:38:13 +08:00 via Android
php 还是 5.X 的完全不慌
|
 |
2
hoyixi 2021-04-02 18:42:44 +08:00
有时候,安全问题没人在意,非得来一下,才能长记性。
|
 |
3
chengshilieren OP @hoyixi 是啊,我曾经在腾讯云购买了云点播服务,API 没有做任何安全保护,然后密钥泄露了,就被人刷了几百 G 流量,钱还是得自己付,那次以后就很谨慎了,😄
|
 |
4
Tink 2021-04-02 19:01:10 +08:00 via Android
有点害怕
|
 |
5
BeautifulSoap 2021-04-02 19:07:44 +08:00  1
说详细点就是,这次被攻击是因为 PHP 自建的 Git 服务器可能出现了还不为人知的漏洞,黑客可以伪造成组织内成员的身份体检代码了
所以在出了这次事情之后,PHP 官方做出了一个艰难的决定——不再自己维护 git 服务器,而是转移到 Github 上 论自建服务的安全问题 |
|
6
BeautifulSoap 2021-04-02 19:08:14 +08:00
@BeautifulSoap 体验代码 -> 提交代码
|
|
7
chengshilieren OP @BeautifulSoap 国内自建 git 的公司不多吧,安全第一啊,购买 gitee 或者 github 企业版
|
 |
8
asuraa 2021-04-02 19:37:03 +08:00
5.3 表示情绪十分稳定
|
 |
9
CismonX 2021-04-02 20:24:04 +08:00
@BeautifulSoap
单纯依赖大平台永远不是最安全的做法。即使是 GitHub 这种体量的代码托管平台,也会存在漏洞。比如著名的 ROR 仓库被黑事件: https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa393e6dc57 相对安全的做法,是在 CI/CD 阶段 double check,确保每个 commit 都有被信任的签名。同时提交者也应该对自己的提交负责,并妥善保管个人开发设备和私钥。这样就能将损失降到最低。这其实和代码托管平台无关,大到企业项目,小到个人玩具,都要有这样的安全意识。 |
 |
10
JJstyle 2021-04-02 20:47:56 +08:00 via iPhone
@chengshilieren 据我所知,国内自建 gitlab 挺多的
|
 |
11
industryhive 2021-04-02 23:04:20 +08:00
自建 git 服务风险和成本还是太高了,java 也开始把 jdk 源码托管到 GitHub 上了。。。go 直接把 GitHub 当仓库了。。
|
Select Language