The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от opennews (??), 21-Янв-19, 09:27 
Сообщается (https://archive.li/3Rsqn) об обнаружении следов взлома официального репозитория пакетов PEAR (http://pear.php.net/) (PHP Extension and Application Repository), предлагающего дополнительные функции и классы для языка PHP. В ходе атаки злоумышленникам удалось получить доступ к web-серверу проекта и внести изменения в файл "go-pear.phar", в котором содержится установочный комплект с пакетным менеджером "go-pear". Модификация была осуществлена 6 месяцев назад.


Потенциально могут быть скомпрометированы (https://twitter.com/pear/status/1086634503731404800) системы пользователей PHP, за последние 6 месяцев выполнявших установку пакетного менеджера "go-pear" из phar-архива (как правило, такая установка практикуется пользователями Windows). Для проверки наличия вредоносного кода в установленном файле
рекомендуется сравнить хэши имеющегося у пользователя архива "go-pear.phar"  с аналогичной  версией архива (https://github.com/pear/pearweb_phars/releases), поставляемой через официальный репозиторий на GitHub (https://github.com/pear/pearweb_phars) (репозиторий на GitHub не скомпрометирован, файл был подменён на web-сервере PEAR). MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

Подробности пока не сообщаются. До завершения разбирательства и полной пересборки содержимого сайта работа сервера PEAR  остановлена.


URL: https://twitter.com/pear/status/1086634389465956352
Новость: https://www.opennet.ru/opennews/art.shtml?num=49998

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (1), 21-Янв-19, 09:27 
>Модификация была осуществлена 6 месяцев назад.

Это всё, что надо знать о фирме Zend и PHPшниках.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

17. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +11 +/
Сообщение от Andrey Mitrofanov (?), 21-Янв-19, 12:17 
>>Модификация была осуществлена 6 месяцев назад.
> Это всё, что надо знать о фирме Zend и PHPшниках.

Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

19. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Клыкастый (ok), 21-Янв-19, 12:26 
к сожалению "мимо пакетов" становится модным трендом, и походу это уже не удержать. snap и flatpack добавляют масла в огонь.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

22. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Andrey Mitrofanov (?), 21-Янв-19, 12:51 
> к сожалению "мимо пакетов" становится модным трендом, и походу это уже не
> удержать. snap и flatpack добавляют масла в огонь.

:|
https://git.savannah.gnu.org/gitweb/?p=guix/maintenance.git;...

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

71. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Ordu (ok), 25-Янв-19, 02:17 
Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются. При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал. Например, было бы неплохо иметь инфраструктуру для тестирования оверлеев. Для этого ведь даже не обязательно покупать железо для сборки и тестирования всего софта из всех оверлеев: все вычислительно натужные задачи можно свалить на пользователей или энтузиастов, а централизованно лишь собирать статистику успешных и неуспешных установок и централизованно же раздавать тестовые наборы, для проверки работоспособности установки.

Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а, чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному угасанию, потому что текущая социальная система достигла своих пределов.

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

72. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Клыкастый (ok), 25-Янв-19, 09:55 
> Это не "модный" тренд, а _неизбежный_ тренд. Софт становится сложнее, обновляется чаще, мейнтейнеры не справляются.

Ну вот например тыкал в gems, cpan. На сложных приложениях (например gitlsb) gems выдавали циклические зависимости - наблюдал лично. Т.е. мейнтейнеры специфики тоже могут несправляться, увы. и с cpan редко, но натыкался на разные спецэффекты. Ну классика - обновил собссна perl - добро пожаловать, вспоминай где какие cpan-овские окружения стоят, давай чинить.

> При этом, я не знаю как там в дебиане дела обстоят или в rpm-based дистрах, но в генте, допустим, нет никаких проблем использовать github в качестве площадки для разработки оверлеев, но каких-нибудь инструментов специфичных для оверлеев я не замечал.

а мне всё же кажется пакетные менеджеры (и портажи, если гента тебе ближе) должны иметь плагины для работы с "полурепами" gem/cpan/compose/etc.

> Ещё неплохо было бы, помимо системы тестирования оверлеев, встроить систему типа patreon'а,
> чтобы все кому это интересно могли бы оплатить выполняемые работы. Вот
> тогда были бы шансы, а пока мейнтейнеры продолжают свои попытки создавать
> портажи/репозитории методами из 90-х, не заморачиваясь на архитектурные изменения в социальной
> системе, стоящей за разработкой дистрибутивов, все их перспективы сводятся к медленному
> угасанию, потому что текущая социальная система достигла своих пределов.

ну кагбе хотелось бы поспорить, но не получится. всё так. или нас ждёт вендоархитектура типа "а теперь качаем с помоек exe^Wflatpak-и", либо да, что-то более прогрессивное.

Ответить | Правка | ^ к родителю #71 | Наверх | Cообщить модератору

34. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –2 +/
Сообщение от Hello (?), 21-Янв-19, 16:30 
Тебя это задело, мальчик? Сочувствую.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

51. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –3 +/
Сообщение от Leninmorteemail (?), 21-Янв-19, 22:43 
> Всё, что надо знать об отгружающих "пакеты" мимо дистрибутивов: js/leftpat, *рокерхаб, рельсы-на-рубище, elpa, мозила-ксулл-шопп, ... а, да!!! гугле-плей-шоп, ......

лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов" - некая software становится пакетом дистрибутива исключительно усилиями мейнтейнеров дистрибутива; или кто-то реально думает, что разработчики например nginx составляют план работы на квартал так: сначала отгружаем rpm-пакеты в ред-хат, потом - deb-пакеты в дебиан и убунту, потом - в арчик и сусе, ну и наконец, так и быть, отгрузим старине слакваре и в фри-бсд;
и да, какие-такие пакеты отгружают рельсы? мосье случаем не перепутал рельсы и рубигемс? а гугл-плей-шоп с играми, музыкой, книгами и фильмами здесь вобще с какого бока?

итого получилось: всё, что нужно знать о пе-ха-пе кодерах, когда задеты их религиозные чувства

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

73. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Клыкастый (ok), 25-Янв-19, 09:58 
> лол-что? вобще-то практически все "отгружают" свой код "мимо дистрибутивов"

Да и тут речь о том, что существующая система втаскивания в репы похоже себя исчерпывает. есть подозрения, что проблема уже есть, просто дистры с комьюнити помельче  чувствуют её раньше.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

6. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от sstj3n (?), 21-Янв-19, 10:32 
Ну норм, косвенно говорит о востребованности проекта, что, впрочем, не отменяет того, что это - дыра.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

8. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +6 +/
Сообщение от имя (?), 21-Янв-19, 10:34 
сейчас можно-стильно-молодежно тянуть через композер, а не пир.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

14. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Аноним (14), 21-Янв-19, 12:12 
Без разницы. Композерохомячки - они хоть в пире композерохомячки, хоть в нпм.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

23. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от имя (?), 21-Янв-19, 12:56 
т.е. ты предалагаешь не использовать пакетный менеджер, а просто рнучками все добавлять?
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

35. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –2 +/
Сообщение от Hello (?), 21-Янв-19, 16:31 
Все писать самому. Как можно было не догадаться?!...
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

41. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Аноним (14), 21-Янв-19, 18:13 
Я предлагаю таки мейнтейнить и ревьюить включения, а не тупо тянуть антрастед сырцы на каждый чих.
Для ниасиливших - даже блобешные .so / .dll + хедеры из релизов юзать секурнее получится.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

42. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Аноним (14), 21-Янв-19, 18:14 
(последнее не про пых естессно, тут для ниасиливших скорее фиксация версии сырцов и после ручной апдейт до релизных тэгов)
Ответить | Правка | ^ к родителю #41 | Наверх | Cообщить модератору

33. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +2 +/
Сообщение от Аноним (33), 21-Янв-19, 15:42 
Только грушевые пакеты композер тянул оттуда же. А если саму грушу ломанули, то могли и пакеты подменить.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +5 +/
Сообщение от Аноним (10), 21-Янв-19, 11:39 
PEAR мертв давно. Да и жив то вобщем-то никогда не был. Сейчас пакеты тянут через композер, а до его появления либо просто копировали код в подпапочку либо использовали git submodules.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

15. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Gemorroj (ok), 21-Янв-19, 12:14 
как уже ответили, pear давно мертв и не нужен даже пхпшникам.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

52. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –2 +/
Сообщение от Fyjybv1 (?), 21-Янв-19, 23:51 
Да. Кастомные пакеты для пхп нах-ер не нужны, в отличии от всяких там, он просто работает из каробки.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –10 +/
Сообщение от eRIC (ok), 21-Янв-19, 11:14 
>MD5-хэш известного варианта с вредоносным кодом - "1e26d9dd3110af79a9595f1a77a82de7".

мда, MD5 ...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

11. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +6 +/
Сообщение от Аноним (11), 21-Янв-19, 11:40 
А что не так с md5 в контексте контроля целостности? Он же не для секурных целей используется.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +6 +/
Сообщение от Андрей (??), 21-Янв-19, 11:59 
Потому что MD5 проклят!

Все кто его продолжают пользовать - ламеры, дурни, прокаженные. От них надо отходить по-дальше, издалека и желательно анонимно всячески охаивать, строить догадки о их умственных способностях и упоминать их родителей в уничижительном ключе.

Т.е. вести себя, как настоящие дурни, мнящие себя умными. Вот как-то так. В таком аспекте...

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

20. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от тоже Анонимemail (ok), 21-Янв-19, 12:29 
> дурни, мнящие себя умными
> по-дальше

Истинное золото редко блестит, понимаешь. Но уж если блеснет - то хоть глаза ладонью закрывай...

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

64. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Гентушник (ok), 22-Янв-19, 16:29 
А за использование CRC видимо сразу нужно расстреливать на месте.
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

25. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –3 +/
Сообщение от OpenEcho (?), 21-Янв-19, 13:12 
Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш был одинаков.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

26. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Andrey Mitrofanov (?), 21-Янв-19, 13:16 
#>>>>MD5-хэш известного варианта с вредоносным кодом -

> Коллизии у него,у MD5 однако и уже даже не теоретические, посмотрите в
> нете, как гуля демонстрировали два абсолютно разных PDF файла, но хэш
> был одинаков.

Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут не тот _вредонос_ что ли??

Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии, да, ага, прям вот так.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

30. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –5 +/
Сообщение от MPEG LA (ok), 21-Янв-19, 13:43 
>MD5 подсунут не тот _вредонос_ что ли??

какая разница, главное что подсунут, и хеш совпадет

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

47. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от eRIC (ok), 21-Янв-19, 20:05 
> Ещё раз, внимательно слушаю:  тебе с этой нетеоретической коллизией MD5 подсунут
> не тот _вредонос_ что ли??

PEAR прошлым веком живет если по сей день не важно, даже если для подсчета безобидного хэша MD5 алгоритм используют

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

58. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от OpenEcho (?), 22-Янв-19, 01:49 
> Неаутентичный и подпорченный, в стра-а-а-ашных муках подбора и генерации этой самой коллизии,
> да, ага, прям вот так.

Не прям вот так, но если есть профит, то с муками или без, но рано или поздно найдется умник.
Я чет не воткнул, Вы за что MD5 защищаете если есть более надежные хэши?
Смысл закрывать дверь на крючок как в деревне, когда есть нормальные замки по той же цене?


Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

67. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от нах (?), 22-Янв-19, 17:40 
например, крючок в деревне не заклинит от того, что дверь разбухла от влаги или перемерзла от холода. Надысь выковыривал знакомой "нормальный замок", а то она могла в свой деревенский дом внезапно не попасть. А собаке открыть зимой дверь он не даст ничем не хуже "нормального замка"

А учитывая что под этим "замком" лежит троянский пакет - только дурак и будет его ломать.

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

74. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от OpenEcho (?), 26-Янв-19, 22:29 
> А учитывая что под этим "замком" лежит троянский пакет - только дурак
> и будет его ломать.

Я все таки не пойму, зачем ездить на запорожце, если за ту же самкю цену можно ездить на мерине?
MD5 дырявый ! Обьясните, может я правда что то не догоняю? Почему не использовать более надежные хэши ?

MD5 ломается и давно, посмотрите в андерграунде как пацаны делают redistributed calculation network и коллективно ломают MD5 и довольно быстро

Мне правда не понятна какая-то странная упрямость пользовать дырявое корыто...

Ответить | Правка | ^ к родителю #67 | Наверх | Cообщить модератору

31. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от тоже Анонимemail (ok), 21-Янв-19, 13:44 
В PDF можно напихать бинарного мусора, который будет просто пропущен парсером.
С архивами (и, тем более, исходниками) это значительно труднее.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

37. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от нах (?), 21-Янв-19, 17:29 
так же просто, но это хэш _подмененного_ пакета - так что самое страшное, что может случиться, действительно - тебе подсунут не тот троян ;-)
Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

68. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (68), 22-Янв-19, 18:35 
> и, тем более, исходниками

Комментарии же!

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

43. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +2 +/
Сообщение от Аноним (11), 21-Янв-19, 18:31 
Важно же подсунуть не просто какой-то другой файл с тем же md5-хешом, а вредоносный файл с тем же md5-хешом, а это на порядки усложняет задачу.
Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

44. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от axredneck (?), 21-Янв-19, 18:44 
В данном случае у нас MD5 вредоноса, а не нормального файла, так что от коллизии ни один злоумышленник не выиграет.
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

13. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –5 +/
Сообщение от Аноним (14), 21-Янв-19, 12:11 
Это всё, что нужно знать о безоглядном использовании сторонних реп. Композерохомячки должны страдать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +2 +/
Сообщение от Gemorroj (ok), 21-Янв-19, 12:16 
слушай, жуниор, ты писал когда-нибудь что-нибудь кроме плагина к вордпресу?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

29. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –3 +/
Сообщение от Аноним (29), 21-Янв-19, 13:27 
Т.е. ты даже не пытаешся скрывать что кроме PHP ничего не осилил? Капец ты пхп днище.
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

40. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (14), 21-Янв-19, 18:12 
С жуниором мимо.
Писал.
Ещё вопросы есть?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

53. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Fyjybv1 (?), 21-Янв-19, 23:58 
Может он и джуниор, но ты просто макака
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

65. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (65), 22-Янв-19, 17:34 
Как ты пришёл к такому глубогомысленному заключению?
Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

70. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Fyjybv1 (?), 24-Янв-19, 02:05 
Чувак написал вполне логичный коммент в свете последних событий, а этот, видимо, кроме вордпресса придумать ничего не смог. Пхпшные штуки тянут зависимости с собой, и кроме голого пхп редко надо чтото доустанавливать, это лучшая практика
Ответить | Правка | ^ к родителю #65 | Наверх | Cообщить модератору

56. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от neit95 (ok), 22-Янв-19, 00:56 
На ноде сайтики ваяем?
Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

63. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +2 +/
Сообщение от Аноним (29), 22-Янв-19, 14:33 
Только статика только тру хардкор.
Ответить | Правка | ^ к родителю #56 | Наверх | Cообщить модератору

18. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (18), 21-Янв-19, 12:25 
Это будет полезнее, чем PECL реестр.

https://github.com/nbs-system/snuffleupagus

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

24. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (24), 21-Янв-19, 13:07 
его кто то использует?
уже лет 20 не пользовался этой фигней
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

27. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Mad Max (?), 21-Янв-19, 13:20 
Таки да, есть народный компост который тоже уже взламывали через phar.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

36. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от Аноним (36), 21-Янв-19, 16:43 
Только коммит всех зависимостей в проект, только хардкор.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

38. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от Аноним (14), 21-Янв-19, 18:10 
Субмодули с прибивкой к конкретному коммиту.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

39. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (14), 21-Янв-19, 18:11 
Ну а если собственный мейнтенанс при этом ведётся - то да, только коммит, только хардкор. Так и делаем.
Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

45. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (45), 21-Янв-19, 19:29 
Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

48. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +3 +/
Сообщение от Аноним (36), 21-Янв-19, 21:28 
Был у меня товарищ который пилил сервис c зависимостями из публичных реп. Обанкротился.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

49. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +2 +/
Сообщение от Онаним (?), 21-Янв-19, 21:51 
Был у меня товарищ, который пилил сервис... Ну, вы поняли.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

50. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +3 +/
Сообщение от Ононем (?), 21-Янв-19, 22:41 
Был у меня товарищ,...
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

66. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от Аноним (65), 22-Янв-19, 17:37 
Любому понятно, что ваши товарищи не то пилили.
Ответить | Правка | ^ к родителю #50 | Наверх | Cообщить модератору

55. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от Шура (?), 22-Янв-19, 00:43 
Ну, я пилил...
Сами знаете, чем это закончилось.
Ответить | Правка | ^ к родителю #49 | Наверх | Cообщить модератору

57. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  –1 +/
Сообщение от Куку там (?), 22-Янв-19, 01:29 
Был у меня товарищ который НЕ пилил сервис. НЕ обанкротился. True story.
Ответить | Правка | ^ к родителю #48 | Наверх | Cообщить модератору

61. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (14), 22-Янв-19, 12:13 
Real tear jerker bro.
Ответить | Правка | ^ к родителю #57 | Наверх | Cообщить модератору

54. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (54), 22-Янв-19, 00:10 
> Был у меня товарищ который пилил сервис без зависимостей из публичных реп. Обанкротился.

Уточните, пожалуйста, товарищ обанкротился до того, как запустил сервис или после?

Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

60. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от KonstantinB (ok), 22-Янв-19, 09:16 
Вместо!
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

62. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от Аноним (29), 22-Янв-19, 14:32 
После. Не смог поддерживать свой велосипед.
Ответить | Правка | ^ к родителю #54 | Наверх | Cообщить модератору

69. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +/
Сообщение от а9ff (?), 22-Янв-19, 20:56 
У меня вообще так друг умер!
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

59. "Выявлены следы взлома PHP-репозитория PEAR и модификации пак..."  +1 +/
Сообщение от vantoo (ok), 22-Янв-19, 03:29 
Оно и не удивительно, что полгода никто не замечал взлома, груша давно прогнила и никому не нужна при наличии Composer.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру