新智元報(bào)道??

來(lái)源：GitHub

編輯：LRS、小勻

【新智元導(dǎo)讀】PHP的git服務(wù)器被攻擊了，合入了兩個(gè)惡意commit，nikic發(fā)信稱將遷移倉(cāng)庫(kù)到GitHub上。代碼中竟然包括「Zerodium」，莫非背后有什么交易？

PHP的一名貢獻(xiàn)者Nikita Popov (網(wǎng)名nikic)公開(kāi)發(fā)信稱，php的git服務(wù)器被黑客攻入。

nikic是PHP的主要contributor，目前在Jetbrains旗下的PhpStorm項(xiàng)目工作，并且開(kāi)發(fā)過(guò)許多PHP的開(kāi)源庫(kù)。他也是LLVM項(xiàng)目的開(kāi)發(fā)者。

信中說(shuō)3月28日晚上，兩個(gè)惡意的commit提交到了php-src倉(cāng)庫(kù)中，以Rasmus Lerdorf和nikic的名義提交。

雖然目前還不知道黑客是如何攻入PHP的離線git服務(wù)器git.php.net，但服務(wù)器確實(shí)存在安全隱患。

為了防止今后再發(fā)生類(lèi)似的事件，git.php.net服務(wù)器將會(huì)關(guān)停，目前仍可訪問(wèn)。

以前php-src在GitHub上的倉(cāng)庫(kù)僅作為鏡像使用，今后的修改將直接提交到GitHub上。

如果還沒(méi)有申請(qǐng)GitHub倉(cāng)庫(kù)上PHP組織的權(quán)限，則需要聯(lián)系nikic申請(qǐng)。

在GitHub上的提交都要開(kāi)啟2FA（雙重身份驗(yàn)證）認(rèn)證。

在開(kāi)啟2FA后，每次需要移動(dòng)設(shè)備來(lái)額外驗(yàn)證一次身份，通過(guò)掃描二維碼獲取驗(yàn)證碼。

惡意提交

名為「fix typo」上的一次提交于兩天前。

增加了幾行代碼，如果字符串以「zerodium」開(kāi)頭，則會(huì)攻擊用戶的服務(wù)器，日期標(biāo)注為mid 2017，并表示這個(gè)漏洞賣(mài)給了zerodium。

Zerodium是一家關(guān)注信息安全的美國(guó)公司，成立于2015年，總部位于華盛頓和歐洲，它的主要業(yè)務(wù)是從安全研究人員手中第一時(shí)間獲取攻擊信息。

Zerodium的CEO發(fā)推特表示「我是清白的」。顯然，發(fā)現(xiàn)這個(gè)bug的研究人員想把這個(gè)漏洞賣(mài)給其他公司，但是沒(méi)人想買(mǎi)。

Reddit網(wǎng)友表示，這作案手段也太明顯了。

根據(jù)Web Technology Surveys的調(diào)查結(jié)果顯示，超過(guò)80%的網(wǎng)站都在使用PHP，例如WordPress等。

這個(gè)小「失誤」會(huì)影響到PHP的地位嗎？

參考資料：

https://news-web.php.net/php.internals/113838

上云賦智，AI新家！

2021年3月31日(周三），首期AI家主題論壇——「創(chuàng)新之都 AI賦智」由新智元?jiǎng)?chuàng)始人楊靜主持，中關(guān)村(000931,股吧)軟件園總經(jīng)理張金輝到場(chǎng)致辭，主題演講環(huán)節(jié)榮幸邀請(qǐng)到達(dá)闥科技創(chuàng)始人&CEO黃曉慶、科大訊飛(002230,股吧)執(zhí)行總裁胡郁、英偉達(dá)亞太區(qū)副總裁潘迪等AI科研產(chǎn)業(yè)先鋒，分享「5G上云? AI賦智」的精彩案例�，F(xiàn)場(chǎng)還有達(dá)闥云端機(jī)器人Ginger小姜與大家進(jìn)行精彩互動(dòng)，還將根據(jù)新智元?jiǎng)?chuàng)新指數(shù)研究，公布「2020 AI Era 創(chuàng)新大獎(jiǎng)」�。ㄌ匮�合作嘉賓清華大學(xué)新聞學(xué)院沈陽(yáng)教授致辭）

新征程，新跨越，新智元&達(dá)闥科技邀你在新浪直播平臺(tái)一同見(jiàn)證！掃描下方二維碼，獲取視頻直播、圖片云直播！

    本文首發(fā)于微信公眾號(hào)：新智元。文章內(nèi)容屬作者個(gè)人觀點(diǎn)，不代表和訊網(wǎng)立場(chǎng)。投資者據(jù)此操作，風(fēng)險(xiǎn)請(qǐng)自擔(dān)。