Опубликованы первые результаты разбора инцидента,  связанного с выявлением в  Git-репозитории проекта PHP двух вредоносных коммитов с бэкдором, активируемым при передаче запроса со специально оформленным заголовком User Agent. В ходе изучения следов  деятельности атакующих был сделан вывод, что непосредственно сервер git.php.net, на котором был размещён git-репозиторий не был взломан, но была скомпрометирована база данных с учётными записями разработчиков проекта...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54920

• Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 10:36 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:01 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:45 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:17 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:28 , 10-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 10:42 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,тоже аноним, 10:43 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Леголас, 11:14 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:36 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Леголас, 11:47 , 07-Апр-21
        • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:51 , 08-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Клавиатур, 12:29 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:36 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,username, 02:04 , 08-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:51 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:01 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:41 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:06 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Онаним, 11:29 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:50 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Cradle, 11:33 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:00 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Gemorroj, 12:04 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,istepan, 12:21 , 07-Апр-21
        • Отчёт о компрометации git-репозитория и базы пользователей п...,fske, 13:19 , 07-Апр-21
          • Отчёт о компрометации git-репозитория и базы пользователей п...,funny.falcon, 04:50 , 08-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,FSA, 10:01 , 08-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:48 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 13:19 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:44 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:00 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Lex, 16:40 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:49 , 08-Апр-21
        • Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 10:24 , 08-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:30 , 10-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:49 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Ordu, 12:23 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 10:52 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:51 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 12:12 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:20 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:26 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:22 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 14:04 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,istepan, 12:22 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:23 , 07-Апр-21
        • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:45 , 08-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:25 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 12:29 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:47 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,InuYasha, 12:24 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:01 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 23:31 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,user90, 12:45 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:59 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,fske, 13:21 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 15:07 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,имя_, 17:47 , 07-Апр-21
      • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 18:20 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 13:08 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 17:39 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,YetAnotherOnanym, 13:20 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,DEF, 13:46 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,erthink, 13:56 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:26 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,бублички, 15:13 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:44 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:02 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Anona, 22:54 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:02 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:40 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 16:47 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 05:26 , 08-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 18:21 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 17:08 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,пох., 20:00 , 07-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Anona, 22:58 , 07-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Ilya Indigo, 20:41 , 07-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 12:34 , 08-Апр-21
    • Отчёт о компрометации git-репозитория и базы пользователей п...,Ilya Indigo, 12:37 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 06:41 , 08-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,еманйам, 08:19 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,еманйам, 08:18 , 08-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 09:17 , 09-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 08:52 , 08-Апр-21
• Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 11:02 , 09-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Аноним, 14:08 , 15-Апр-21
  • Отчёт о компрометации git-репозитория и базы пользователей п...,Gemorroj, 19:00 , 07-Май-21

>master.php.net

ого, как нетолерантно в сегодняшние времена!
>main.php.net

а нет, все в порядке

лол

А что если не было никакого взлома, а всё было затеяно для переезда на Гитхаб и смены имени сервера?..

А не столман ли это? Надо было закрывать вопрос раз и навсегда.

Свободное Сообщество само за Столлмана закроет вопрос.

За ричарда стреляю в упор

>После обнаружения первого вредоносного коммита, совершённого через учётную запись Расмуса Лердорфа, основателя PHP, было сделано предположение, что взломан его аккаунт и Никита Попов, один из ключевых разработчиков PHP, откатил изменения и блокировал права коммита для проблемной учётной записи.
>Следом атакующие отправили вредоносный коммит от имени самого Никиты.

Похоже, что взломщики следили за всеми действиями в прямом эфире. Представляю каково это было увидеть левый коммит от самого себя.

> было сделано предположение, что взломан его аккаунт и Никита Попов

Никиту спасти удалось? Я переживаю.

если уж гнуть вашу линию, то это всего навсего предположение, и безопасность господина Попова, вполне возможно, вообще не была под вопросом

Тоже аноним имеет в виду, что перед "и Никита Попов" по правилам русской грамматики должна стоять запятая.

она может там стоять, но необязательно — всё банально зависит от смысла

смысл - это не банально

Никита в полной безопасности.
Его тоже перепрошили.

Чипировали

Вайфаем

Еще пока он был в РФ :D

Пруфа нет, но примерно с месяц назад попадалась новость, что бекдор встроен в пхпшторм и шлет пароли кудато налево.
Возможно, та же ситуация и в данном случае (уверен, что и Расмус Лердорф и Никита Попов используют шторм)

Если пруфа нет, это называется клевета.

IntelliJ IDEA держит открытым порт на 127.0.0.1и через запущенный браузер можно выполнить код на локально запущенной IDEA. Там баг в сериализации, могу продать payload

Вот видите.
А озаботились бы раньше BLM и прочим SJW - глядишь и master.php.net бы не взломали.
Такие дела.

Кто о чем, а барнаулец о наболевшем.

вот это особенно понравилось "Код для работы с СУБД переделан для использования параметризованных запросов, усложняющих подстановку SQL-кода"

выходит, все предыдущие 25 лет они там не параметризованные были?

именно! а еще древная не обновляемая ОС, а еще MD5 в качестве хеша пароля (не удивлюсь если они даже без соли хранились).

похапешники - одним словом)))

давай посмотрим на твой код 25 летней давности?

Речь наминуточку, об инфраструктре от которой зависит большая часть интернета.
Это просто какое-то позорище.

>Речь наминуточку, об инфраструктре от которой зависит большая часть интернета

большая часть....ты не стендапер часом? шутка хорошая.

Если ударение поставить на а, то всё нормально.

Лет 15 назад я тоже в md5 хранил. Но потом открыл для себя password_hash. Просто так взять и разослать по пользователями сообщение о смене пароля не мог. Просто прикрутил костыль. Добавил дополнительное поле для хранения пароля в новом виде. Всем, кто успешно логинился в систему автоматически заполнял это поле и удалял старый хеш. У кого старого хеша не было, проверял пароль через password_verify. Ну, и, если что, сайт в локалке крутился. От прошлых утечек уже не защита, а от новых вполне себе.

> похапешники - одним словом)))

пхп не просто допускает, позволяет, разрешает такие техники программирования, но, имхо, одобряет, способствует, подталкивает, учит говнокодингу.
Я, как сиплюплюшник, всегда был в шоке от того как пишется код всяких веб-поделок. От того как хреново (т.е. почти никак) поток инструкций изолируется от потока данных. В общем, макаки сами себя полностью закопали, отклонив инициативу P++. В php hell им дорога.
И дотнетчикам с ГОпниками туда же.

с++ един и страуструп пророк его!

Как будто на С++ плохого кода нет.

А так-то само собой разумеется, что чем проще язык, тем больше на нем будет непрофессионального кода.

Здесь постоянно новости проходят о дырках в твоей плюшечке

> пхп не просто допускает, позволяет, разрешает такие техники программирования

Какие «техники» ?
-Не трогать то, что и так успешно работает ? Ведь именно это явилось следствием упомянутых проблем.

А то можно подумать, что сишники свой код еженедельно переписывают.. и пакеты новейшие устанавливают.. и ось переустанавливают

> поток инструкций изолируется от потока данных

Это что еще такое?!

Поток инструкций... изолируется. Это про сегменты? Виртуалки? OpenCL? Что_ты_черт_возьми_такое_несешь.jpg

Тебе, наверное, фамилия Фон Нойман вообще ни о чём не говорит. Жуй дальше веб-бананы.

> дотнетчикам с ГОпниками туда же.

Зря ты так, зря, зря.... ой зря...

> Взлом master.php.net рассматривается как наиболее вероятный сценарий, так как для данного сервера было использовано неполиткорректное имя, возбуждающее криминальные элементы в среде SJW. В связи с этим решено сменить имя на main.

Если уж пошла такая пьянка, то надо было не менять: бесплатный пентест.

Вот тебе бабушка и столман день.

>Для хранения хэшей паролей в БД задействован алгоритм bcrypt (ранее пароли хранились с использованием ненадёжного хэша MD5).

Выпилить вообще парольную аутентификацию и вместо этого ввести аутентификацию по публичным ключам.

как это поможет при краже приватного ключа с твоего компьютера, где ты в любимой десяточке откроешь какой-то веб-сайтик в устаревшем Chrome/Firefox? как это поможет когда баклан вроде тебя прощёлкает где-то ноутбук-планшет-мобильник где был приватный ключ в незащищщённом виде (C:\Users\Vasjan\Desktop\private.key)?

При входе с новых мест включать 2FA с подтверждением Trust computer

http://www.notcpa.org/

https://smallstep.com/sso-ssh/

https://smallstep.com/docs/platform

даже ужасаюсь представить это на практике, но с позиций маркетинга очень красиво: Pro версия, интеграция с AWS и Azure. от этих слов (ещё забыли Kubernets) у любого эффективного менеджера (или руководителя проекта без всякого опыта в ИТ) гарантирован экстаз. представляю презентации типа "мы сделали даже лучше чем хотели, ведь мы лучшие и всё самое лучшее делаем лишь для вас. только купите - мы с вас не слезем"

Приватные ключи защищаются парольной фразой.

ssh-agent будет держать в кеше без парольной фразы.

И?

ssh-agent is a key manager for SSH. It holds your keys and certificates in memory, unencrypted, and ready for use by ssh. It saves you from typing a passphrase every time you connect to a server. It runs in the background on your system, separately from ssh, and it usually starts up the first time you run ssh after a reboot.

https://smallstep.com/blog/ssh-agent-explained/

зашифрованной сверхнадёжными DES-MD5 при пароле типа vasja123?

по глазу

Надо было ставить антивирус однофамильца - и никакие взломы были бы не страшны.

Тогда уж и сервер крутить на ПопенОС или как она там с нескучными

Болген, же.

> проекта PHP двух вредоносных коммитов

"вредоносного проЭкта PHP", fixed!

Дырявый язык с дырявым репозиторием. Разаботчики хоть не дырявые?

а как ты считаешь, если они переехали с master на main?

Школьник-пубертат везде дырки ищет

не просто ищет, а еще и носом крутит - не нравятся ему некоторые!

Ну это всяко лучше типичного пэхапешника, который везде дырки находит, а потом страдает от болячек. Запомните нужно правильно выбирать партнера

Вот бы им мигрировать на Codeberg или Notabug в конце концов

А чем хорош Codeberg?

> аутентификация выполнялась при помощи HTTP-сервера Apache2

Эээ... имеется в виду аутентификация средствами HTTP?

Почему bcrypt, а не argon2? Чем они думают воообще там?

> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

Откровенно говоря, страшно подумать, что можно ожидать при таком уровне в собственном коде разработчиков, без ревью и аудита.

Ляпы у всех бывают, но тут как-то перебор.

> Ляпы у всех бывают, но тут как-то перебор.

Проблема в отсутствии ответственных за инфраструктуру людей.

ты правда хотел бы нести ответственность за подобных горе-разработчиков? или же ты надеешься их переубедить? за спиной будешь стоять и бить по рукам что тянутся сотворить очередную глупость? брось, это они переубедят тебя, ещё вдобавок задавят опытом а потом выпрут за проф-непригодность (и отсутствие толерантности к геям-неграм). ну обновили они сервер (PHP 8 вместо 5), но мышление то у них не обновилось. ждём продолжения

на моем веку в мастер загружали после ревю чудовищную бредятину, только потому что ревб - это не про разум, а про то кто больше орет, отказывается дискутировать, занимая принципиально бескомпромиссную позицию, и у кого выше позиция. Короче ни ревью, ни аудит, ни Open Source - сегодня ничего не гарантируют.

> т.е. они заранее знали пароли Расмуса и Никиты, но не знали их логины. Если атакующие смогли получить доступ к СУБД, то непонятно, почему они сразу не использовали указанный там корректный логин.

Видать они:
* использовали один пароль на несколько сервисов.
* подхватили кейлогер на своих рабочих компах.

Если дело в кейлогерах, то помогут ключи с аппаратной защитой секретного ключа.

Не вполне: на зараженной машине можно перехватить пин токена, дождаться его подключения и подписать необходимое.

MD5 - "я и балл"!

после взлома надо было удалить весь пхп

ВпоПЫХах.

вПОПЫах

Шалун

>> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

Всё что нужно знать об отличиях git от svn

костылинг и подпоркинг вместо аутентификации добавьте в списочек.

Потомушта для "парежьте памельче, в экран нивлазиет, и пришлите в рассылку" все это, конечно, излишне.

Вообще, для крупных изменений в ядре предусмотрено [GIT PULL].

> на данном сервере был использован очень старый код и устаревшая ОС, которые давно не обновлялись и имели неисправленные уязвимости.

Работает - не трожь! Говорили они.

> master --> main

А не ради этого ли всё затевалось?

Последние обновления спасают от подбора паролей?

> Последние обновления спасают от подбора паролей?

Вы новость читали?
Пароль НЕ подбирали его уже знали.

Опять Никита Попов...

Надо бы PHP-никам проверить его на связь с Лубяночкой кек

паяльник уже подключен к розетке - 100% сознается

master переделали в main

опять "хакеры во всём виноваты" - при чём, желательно русские.

Во-первых, нежелательно, но все же все время русские, китайские или северо-корейские. Что логично, конечно.
Во-вторых, "причём" - слитно.

Кстати, Столлман не имеет ничего против разработки customized software — специально заточенного софта для разных конторских нужд, и получения за сиё колдунство грязных денег.

Что будет с php, если представить, чисто гипотетически, что Лердорф и Попов перестанут им заниматься? Насколько большая команда вообще занимается развитием php?

Небольшая, насколько понимаю, человек 30-40, из которых реально активных может быть 10

лердорф давно не занимается php. занимаются активно только попов и стогов.