QQ客服:4000600990 客服热线:4001610866 投诉邮箱:jubao@knownsec.com

热门搜索词

抗D保 创宇盾 HSTS SNI 新功能

热门文章

  • 漏洞预警 | 开源软件工具Jenkins...

    近日,Jenkins发布安全公告,称插件Script Security、Pipeline: Groovy和Pipeline: Declarativ 存在沙箱绕过漏洞,CVE编号分别为:CVE-2019-1003000、CVE-2019-1003001和CVE-2019-1003002。利用该漏洞,攻击者可不经身份认证实现远程代码执行。

  • 公告 | 关于云安全用户请尽快完成实名认...

    根据《中华人民共和国网络安全法》关于“网络运营者不得为未完成实名认证的用户提供相关服务”等的相关法律规定,请未完成实名制的客户尽快完成处理。

  • 年度报告| 知道创宇云安全2018年度网...

    2018年,网络安全领域暗流涌动,攻击趋势不断攀升,T级DDoS攻击多次爆发、数据泄露事件层出不穷、勒索软件大行其道。此外,随着我国互联网行业“出海”新浪潮的来临,海外业务的激增刺激了大量海外黑客势力加入到“分蛋糕”的队伍。

关注知道创宇云安全

获取最新安全动态

PHP PEAR网站遭黑客入侵,官方软件安装包被篡改

来源:黑客视界 2019.01.28

 

上周,PEAR的维护人员发现有人用核心PEAR文件系统中的修改版本替换了原来的PHP PEAR包管理器(go-pear.phar),于是他们关闭了PEAR的官方网站(PEAR-PHP.net)。

尽管PEAR开发人员仍在分析恶意包,但根据他们2019年1月19日发布的一份安全声明,因被黑客入侵,网站被恶意代码感染的安装文件至少已存在半年。

PHP扩展和应用程序存储库(PEAR)是一个社区驱动的框架和分发系统,任何人都可以在其中搜索和下载用PHP编程语言编写资源。这些开源库(通常称为包)允许开发人员轻松地在其项目和网站中轻松添加其他功能,比如身份验证、缓存、加密、web服务等等。

当用户为Unix/Linux/BSD系统下载PHP软件时,PEAR download manager (go-pear.phar)会预先安装,而Windows和Mac OS X用户需要手动安装组件。

 

由于许多网络托管公司(包括共享托管服务提供商)也允许其用户安装和运行PEAR,因此这种最新的安全漏洞可能会影响大量网站及其访问者。

PEAR官方网站关于此次问题上的说明如下:

“如果您在过去六个月内已经下载了这个go-pear.phar,那么您应该从GitHub(pear / pearweb_phars)获取相同发行版本的新副本并比较hash文件。如果文件内容不同,您的设备内可能会有受感染的文件。”

根据PEAR维护者的说法,该团队目前正在调查实际情况,以确定攻击的影响范围以及攻击者最初如何设法破坏服务器。pearweb_phars的新版本1.10.10现在可以在Github上下载使用,Github也重新发布了干净的go-pear版本”。

“go-pear.phar”为v1.10.9版本,是研究人员发现官网服务器内受污染的文件,现在每个phar文件都含有独立的GPG签名。但目前只发现pear.php.net服务器上的副本受到了影响,因此影响了go-pear的GitHub副本。

由于PEAR官方只发出了警告通知,同时并没有公布安全事件的任何细节,目前幕后黑手的身份仍然未能确定。

所有在过去六个月内从官方网站下载安装文件go-pear.phar的PHP / PEAR用户都应该警惕设备是否受到了污染侵害,并快速下载并安装Github的“干净”版本。

Pear的更新团队表示,其服务器上被恶意代码感染的“go-pear.phar”文件于1月18日由Paranoids FIRE团队发现,而被污染的文件的最后一次官方更新时间是2018年12月20日。

在分析了软件包管理器的污染版本之后,研究团队发现恶意模块的设计是“通过Perl从IP4产生反向shell到IP 104.131.154.154”,从而允许攻击者完全控制受感染的服务器,拥有安装应用程序,运行恶意代码以及窃取敏感数据的能力。

pear团队对用户表示:
“如果您从12月20日开始下载go-pear.phar,且在您的系统上安装了PEAR包,那么您应该担心设备的安全状况。
如果您在12月20日之前下载了go-pear.phar,可放下疑虑,因为我们没有收到受感染文件的具体证据......但如果您使用go-pear.phar执行PEAR安装,那么最好对你的系统进行检查。
另外请注意,这不会影响PEAR安装程序包本身,但会影响您最初安装PEAR安装程序时使用的go-pear.phar可执行文件。而使用'pear'命令安装各种PEAR包则不受影响。”

×
×

身份信息验证

应国家法律法规相关要求,自2017年6月1日起使用信息发布、即时通信等服务时,需进行身份信息验证。为保障您对相关服务功能的正常使用,请验证手机邮箱姓名身份证号,感谢您的支持和理解。

验证
4001610866 4000600990 关注