可怕， PHP 源码差点就被嵌入后门

今天我看到新闻，PHP 的 Git 服务器被黑客入侵试图提交后门代码....

事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门：如果字符串以 "zerodium" 开头，就会从 useragent HTTP 头内执行 PHP 代码

PHP 仍然是服务器端主要的编程语言，为互联网上超过 79% 的网站提供支持，如果该后门没有被发现，后果将非常严重....

laqow

2021-04-02 18:38:13 +08:00

php 还是 5.X 的完全不慌

hoyixi

2021-04-02 18:42:44 +08:00

有时候，安全问题没人在意，非得来一下，才能长记性。

chengshilieren

2021-04-02 18:54:27 +08:00

@hoyixi 是啊，我曾经在腾讯云购买了云点播服务，API 没有做任何安全保护，然后密钥泄露了，就被人刷了几百 G 流量，钱还是得自己付,那次以后就很谨慎了，😄

Tink

2021-04-02 19:01:10 +08:00

有点害怕

BeautifulSoap

2021-04-02 19:07:44 +08:00

说详细点就是，这次被攻击是因为 PHP 自建的 Git 服务器可能出现了还不为人知的漏洞，黑客可以伪造成组织内成员的身份体检代码了

所以在出了这次事情之后，PHP 官方做出了一个艰难的决定——不再自己维护 git 服务器，而是转移到 Github 上

论自建服务的安全问题

BeautifulSoap

2021-04-02 19:08:14 +08:00

@BeautifulSoap 体验代码 -> 提交代码

chengshilieren

2021-04-02 19:11:55 +08:00

@BeautifulSoap 国内自建 git 的公司不多吧，安全第一啊，购买 gitee 或者 github 企业版

asuraa

2021-04-02 19:37:03 +08:00

5.3 表示情绪十分稳定

CismonX

2021-04-02 20:24:04 +08:00

@BeautifulSoap

单纯依赖大平台永远不是最安全的做法。即使是 GitHub 这种体量的代码托管平台，也会存在漏洞。比如著名的 ROR 仓库被黑事件： https://github.com/rails/rails/commit/b83965785db1eec019edf1fc272b1aa393e6dc57

相对安全的做法，是在 CI/CD 阶段 double check，确保每个 commit 都有被信任的签名。同时提交者也应该对自己的提交负责，并妥善保管个人开发设备和私钥。这样就能将损失降到最低。这其实和代码托管平台无关，大到企业项目，小到个人玩具，都要有这样的安全意识。

JJstyle

2021-04-02 20:47:56 +08:00

@chengshilieren 据我所知，国内自建 gitlab 挺多的

industryhive

2021-04-02 23:04:20 +08:00

自建 git 服务风险和成本还是太高了，java 也开始把 jdk 源码托管到 GitHub 上了。。。go 直接把 GitHub 当仓库了。。

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/767636

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.