قراصنة خرق PHP Git Server وإدراج Backdoor في شفرة المصدر

قراصنة خرق PHP Git Server وإدراج Backdoor في شفرة المصدر

اخترق المتسللون مستودع Git الرئيسي للغة برمجة PHP ، مضيفين بابًا خلفيًا إلى كود المصدر الذي يمكن أن يسمح للمهاجمين بالوصول إلى ملايين الخوادم في جميع أنحاء العالم.





اي فون 6 زر المنزل لا يعمل

ومع ذلك ، على الرغم من أن هذا يبدو سيئًا ، فقد ترك المتسللون أيضًا علامة حمراء عملاقة لفريق تطوير PHP ، على الأرجح كتحذير بشأن الثغرة الأمنية بدلاً من استغلالها مباشرة.



يقوم المتسللون بإدراج الباب الخلفي في كود مصدر PHP

صدر فريق تطوير PHP بيان رسمي تأكيد خرق شفرة المصدر يوم الأحد 28 مارس.





يؤكد البيان أن شفرة مصدر PHP قد تم اختراقها بالفعل ، مع دفع الشفرة الضارة إلى خادم PHP Git من حسابات المطورين الرئيسيين Rasmus Lerdorf و Nikita Popov.

الباب الخلفي ، الذي لم يشق طريقه إلى الإنتاج (بمعنى أنه لم يتم دفعه مباشرة إلى أي خوادم) ، كان سيسمح للمهاجم بتنفيذ تعليمات برمجية على أي خادم PHP ضعيف. من شأنه أن يمنح وصولًا كبيرًا إلى عامل تهديد ويشكل خطرًا كبيرًا لملايين المواقع التي تستخدم لغة البرمجة.



الموضوعات ذات الصلة: كيفية معالجة النص في PHP باستخدام هذه الوظائف المفيدة

ومع ذلك ، في حين أن الاختراق وكشف الثغرة الأمنية سيئان ، فمن الواضح أن المتسلل أو المتسللين لم يقصدوا إطلاقًا استغلال الثغرة. لتشغيل الشفرة الخبيثة ، يجب أن يرسل الهجوم طلبًا إلى سلسلة محددة مسماة زيروديوم .



Zerodium هو اسم خدمة وسيط استغلال معروفة ، حيث يمكن للقراصنة بيع الثغرات لمن يدفع أعلى سعر. إن إدراج الاسم يضفي مصداقية على فكرة أن المتسللين كانوا يلفتون الانتباه إلى فريق تطوير PHP بدلاً من استغلال الثغرة بشكل فعال.

متعلق ب: تعرف على كيفية توزيع حزم PHP الخاصة بك مع Packagist



تطوير PHP يتخذ خطوات أمان إضافية

نتيجة لهذا الاختراق ، سيغير فريق تطوير PHP كيفية إدارته للوصول إلى خادم Git الخاص به ، مما يجعل مستودعات GitHub الخاصة به هي قاعدة التعليمات البرمجية الفعلية للمشروع ، بدلاً من مجرد مرآة كما هي حاليًا.

كيفية إضافة المزيد من مساحة التخزين إلى macbook air

أثناء [] التحقيق لا يزال جاريًا ، قررنا أن الحفاظ على البنية التحتية git الخاصة بنا يمثل مخاطرة أمنية غير ضرورية ، وأننا سنوقف خادم git.php.net. بدلاً من ذلك ، ستصبح المستودعات الموجودة على GitHub ، والتي كانت في السابق مجرد مرايا ، أساسية. هذا يعني أنه يجب دفع التغييرات مباشرة إلى GitHub بدلاً من git.php.net.

بعد التبديل ، سيتعين على أولئك الذين يحتاجون إلى الوصول إلى مستودعات PHP الاتصال بفريق التطوير مباشرة لتقديم طلب.

على الرغم من أن فريق التطوير يعتقد أن الاختراق كان بمثابة حل وسط لخادم Git نفسه ، وليس حسابًا فرديًا ، إلا أن تطوير PHP يتخذ بحق خطوات إضافية لضمان عدم وجود المزيد من الانتهاكات.

البحث عن عنوان IP الخاص بـ Raspberry Pi

وفق W3Techs ، حوالي 80 بالمائة من جميع المواقع على الإنترنت تستخدم شكلاً من أشكال PHP ، لذا فإن خطوات الأمان الإضافية مفهومة تمامًا.

يشارك يشارك سقسقة بريد الالكتروني كيفية بناء موقع PHP الأول الخاص بك

هل تريد إنشاء موقع ويب ولكن لا تعرف من أين تبدأ؟ سيضعك إنشاء موقع ويب PHP أساسي على طريق تطوير الويب.

اقرأ التالي مواضيع ذات صلة
  • حماية
  • أخبار التكنولوجيا
  • برمجة
  • جيثب
  • بي أتش بي
  • الباب الخلفي
نبذة عن الكاتب جافين فيليبس(تم نشر 945 مقالة)

Gavin هو محرر جونيور لـ Windows و Technology Explained ، وهو مساهم منتظم في Really Useful Podcast ومراجع منتظم للمنتج. حصل على بكالوريوس (مع مرتبة الشرف) في الكتابة المعاصرة مع ممارسات فنية رقمية نُهبت من تلال ديفون ، بالإضافة إلى أكثر من عقد من الخبرة المهنية في الكتابة. يستمتع بكميات وفيرة من الشاي وألعاب الطاولة وكرة القدم.

المزيد من Gavin Phillips

اشترك في نشرتنا الإخبارية

انضم إلى النشرة الإخبارية لدينا للحصول على نصائح تقنية ومراجعات وكتب إلكترونية مجانية وصفقات حصرية!

انقر هنا للاشتراك