这是一个创建于 1849 天前的主题,其中的信息可能已经有所发展或是发生改变。
今天我看到新闻,PHP 的 Git 服务器被黑客入侵 试图提交后门代码....
事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码
PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 "zerodium" 开头,就会从 useragent HTTP 头内执行 PHP 代码
PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重....
 | 1 laqow 2021 年 4 月 2 日 via Android php 还是 5.X 的完全不慌 |
 | 2 hoyixi 2021 年 4 月 2 日 有时候,安全问题没人在意,非得来一下,才能长记性。 |
 | 3 chengshilieren OP @hoyixi 是啊,我曾经在腾讯云购买了云点播服务,API 没有做任何安全保护,然后密钥泄露了,就被人刷了几百 G 流量,钱还是得自己付,那次以后就很谨慎了, |
 | 4 Tink PRO 有点害怕 |
 | 5 BeautifulSoap 2021 年 4 月 2 日  1 说详细点就是,这次被攻击是因为 PHP 自建的 Git 服务器可能出现了还不为人知的漏洞,黑客可以伪造成组织内成员的身份体检代码了 所以在出了这次事情之后,PHP 官方做出了一个艰难的决定不再自己维护 git 服务器,而是转移到 Github 上 论自建服务的安全问题 |
| 6 BeautifulSoap 2021 年 4 月 2 日 @BeautifulSoap 体验代码 -> 提交代码 |
| 7 chengshilieren OP @BeautifulSoap 国内自建 git 的公司不多吧,安全第一啊,购买 gitee 或者 github 企业版 |
 | 8 asuraa 2021 年 4 月 2 日 5.3 表示情绪十分稳定 |
 | 9 CismonX 2021 年 4 月 2 日 @BeautifulSoap 单纯依赖大平台永远不是最安全的做法。即使是 GitHub 这种体量的代码托管平台,也会存在漏洞。比如著名的 ROR 仓库被黑事件: https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa393e6dc57 相对安全的做法,是在 CI/CD 阶段 double check,确保每个 commit 都有被信任的签名。同时提交者也应该对自己的提交负责,并妥善保管个人开发设备和私钥。这样就能将损失降到最低。这其实和代码托管平台无关,大到企业项目,小到个人玩具,都要有这样的安全意识。 |
 | @chengshilieren 据我所知,国内自建 gitlab 挺多的 |
 | 11 industryhive 2021 年 4 月 2 日 自建 git 服务风险和成本还是太高了,java 也开始把 jdk 源码托管到 GitHub 上了。。。go 直接把 GitHub 当仓库了。。 |
Select Language