Hackare har brutit mot huvudgitförvaret för PHP -programmeringsspråket och lagt till en bakdörr till källkoden som kan ge en angripare tillgång till miljontals servrar över hela världen.
hur man väljer flera låtar på spotify
Men hur illa det än låter, lämnade hackarna också en gigantisk röd flagga för PHP -utvecklingsteamet, förmodligen som en varning om sårbarheten snarare än som en direkt exploatering.
Hackare infogar bakdörr i PHP -källkoden
PHP -utvecklingsteamet släpptes ett officiellt uttalande bekräftar brott mot källkoden söndagen den 28 mars.
Uttalandet bekräftar att PHP -källkoden verkligen har brutits, med den skadliga koden som har skickats till PHP Git -servern från kontona för ledande utvecklare Rasmus Lerdorf och Nikita Popov.
Bakdörren, som inte har tagit sig in i produktionen (vilket betyder att den inte har skickats live till några servrar), skulle ha tillåtit en angripare att köra kod på en sårbar PHP -server. Det skulle ge betydande tillgång till en hotaktör och utgöra en betydande fara för de miljoner webbplatser som använder programmeringsspråket.
Relaterat: Hur man manipulerar text i PHP med dessa praktiska funktioner
Även om överträdelsen och exponeringen av sårbarheten är dålig, är det uppenbart att hackaren eller hackarna aldrig hade för avsikt att utnyttjandet skulle gå live. För att utlösa den skadliga koden måste en attack skicka en begäran till en specifik sträng med namnet zerodium .
Zerodium är namnet på en välkänd exploateringstjänst där hackare kan sälja exploater till högstbjudande. Införandet av namnet ger trovärdighet åt idén att hackarna uppmärksammade PHP -utvecklingsteamet snarare än att aktivt utnyttja sårbarheten.
Relaterad: Lär dig hur du distribuerar dina PHP -paket med Packagist
PHP -utveckling Ta extra säkerhetssteg
Som ett resultat av intrånget kommer PHP -utvecklingsteamet att ändra hur det hanterar åtkomst till sin Git -server, vilket gör sina GitHub -förråd till de facto kodbasen för projektet, snarare än bara en spegel som den är för närvarande.
ikoner i aktivitetsfältet fungerar inte windows 10
Medan [undersökningen] fortfarande pågår har vi beslutat att underhålla vår egen git -infrastruktur är en onödig säkerhetsrisk och att vi kommer att avbryta git.php.net -servern. I stället kommer förvaren på GitHub, som tidigare bara var speglar, att bli kanoniska. Detta innebär att ändringar bör drivas direkt till GitHub snarare än till git.php.net.
Efter bytet måste de som kräver åtkomst till PHP -lagren kontakta utvecklingsteamet direkt för att göra en begäran.
Även om utvecklingsteamet tror att intrånget var en kompromiss med själva Git -servern, snarare än ett individuellt konto, tar PHP -utvecklingen med rätta ytterligare åtgärder för att säkerställa att det inte finns några ytterligare överträdelser.
hur man gör hiphop -beats på garageband
Enligt W3Techs , cirka 80 procent av alla webbplatser på internet använder någon form av PHP, så de ytterligare säkerhetsstegen är helt begripliga.
Dela med sig Dela med sig Tweet E-post Hur man bygger din första enkla PHP -webbplatsVill du bygga en webbplats men vet inte var du ska börja? Genom att skapa en grundläggande PHP -webbplats kommer du på vägen till webbutveckling.
Läs Nästa Relaterade ämnen- säkerhet
- Tekniska nyheter
- Programmering
- GitHub
- PHP
- Bakdörr
Gavin är Junior Editor för Windows och Technology Explained, en regelbunden bidragsgivare till den riktigt användbara podden och en vanlig produktgranskare. Han har en BA (Hons) samtidsskrivning med digital konstpraxis från Devons kullar, liksom över ett decennium av professionell skrivarupplevelse. Han njuter av stora mängder te, brädspel och fotboll.
Mer från Gavin PhillipsPrenumerera på vårt nyhetsbrev
Gå med i vårt nyhetsbrev för tekniska tips, recensioner, gratis e -böcker och exklusiva erbjudanden!
Klicka här för att prenumerera