The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Отчёт о компрометации git-репозитория и базы пользователей проекта PHP"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Отчёт о компрометации git-репозитория и базы пользователей проекта PHP"  +/
Сообщение от opennews (?), 07-Апр-21, 10:36 
Опубликованы первые результаты разбора инцидента,  связанного с выявлением в  Git-репозитории проекта PHP двух вредоносных коммитов с бэкдором, активируемым при передаче запроса со специально оформленным заголовком User Agent. В ходе изучения следов  деятельности атакующих был сделан вывод, что непосредственно сервер git.php.net, на котором был размещён git-репозиторий не был взломан, но была скомпрометирована база данных с учётными записями разработчиков проекта...

Подробнее: https://www.opennet.ru/opennews/art.shtml?num=54920

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +21 +/
Сообщение от имя_ (?), 07-Апр-21, 10:36 
>master.php.net

ого, как нетолерантно в сегодняшние времена!
>main.php.net

а нет, все в порядке

лол

Ответить | Правка | Наверх | Cообщить модератору

33. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +13 +/
Сообщение от Аноним (33), 07-Апр-21, 13:01 
А что если не было никакого взлома, а всё было затеяно для переезда на Гитхаб и смены имени сервера?..
Ответить | Правка | Наверх | Cообщить модератору

53. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (53), 07-Апр-21, 14:45 
А не столман ли это? Надо было закрывать вопрос раз и навсегда.
Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

57. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (-), 07-Апр-21, 15:17 
Свободное Сообщество само за Столлмана закроет вопрос.
Ответить | Правка | Наверх | Cообщить модератору

100. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (100), 10-Апр-21, 16:28 
За ричарда стреляю в упор
Ответить | Правка | Наверх | Cообщить модератору

2. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от имя_ (?), 07-Апр-21, 10:42 
>После обнаружения первого вредоносного коммита, совершённого через учётную запись Расмуса Лердорфа, основателя PHP, было сделано предположение, что взломан его аккаунт и Никита Попов, один из ключевых разработчиков PHP, откатил изменения и блокировал права коммита для проблемной учётной записи.
>Следом атакующие отправили вредоносный коммит от имени самого Никиты.

Похоже, что взломщики следили за всеми действиями в прямом эфире. Представляю каково это было увидеть левый коммит от самого себя.

Ответить | Правка | Наверх | Cообщить модератору

3. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +18 +/
Сообщение от тоже аноним (?), 07-Апр-21, 10:43 
> было сделано предположение, что взломан его аккаунт и Никита Попов

Никиту спасти удалось? Я переживаю.

Ответить | Правка | Наверх | Cообщить модератору

6. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Леголасemail (ok), 07-Апр-21, 11:14 
если уж гнуть вашу линию, то это всего навсего предположение, и безопасность господина Попова, вполне возможно, вообще не была под вопросом
Ответить | Правка | Наверх | Cообщить модератору

10. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (10), 07-Апр-21, 11:36 
Тоже аноним имеет в виду, что перед "и Никита Попов" по правилам русской грамматики должна стоять запятая.
Ответить | Правка | Наверх | Cообщить модератору

11. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –2 +/
Сообщение от Леголасemail (ok), 07-Апр-21, 11:47 
она может там стоять, но необязательно — всё банально зависит от смысла
Ответить | Правка | Наверх | Cообщить модератору

83. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (83), 08-Апр-21, 06:51 
смысл - это не банально
Ответить | Правка | Наверх | Cообщить модератору

28. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +3 +/
Сообщение от Клавиатур (?), 07-Апр-21, 12:29 
Никита в полной безопасности.
Его тоже перепрошили.
Ответить | Правка | К родителю #3 | Наверх | Cообщить модератору

29. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от Аноним (29), 07-Апр-21, 12:36 
Чипировали
Ответить | Правка | Наверх | Cообщить модератору

74. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от username (??), 08-Апр-21, 02:04 
Вайфаем
Ответить | Правка | Наверх | Cообщить модератору

82. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (83), 08-Апр-21, 06:51 
Еще пока он был в РФ :D
Ответить | Правка | К родителю #28 | Наверх | Cообщить модератору

4. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –4 +/
Сообщение от Аноним (4), 07-Апр-21, 11:01 
Пруфа нет, но примерно с месяц назад попадалась новость, что бекдор встроен в пхпшторм и шлет пароли кудато налево.
Возможно, та же ситуация и в данном случае (уверен, что и Расмус Лердорф и Никита Попов используют шторм)
Ответить | Правка | Наверх | Cообщить модератору

39. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (39), 07-Апр-21, 13:41 
Если пруфа нет, это называется клевета.
Ответить | Правка | Наверх | Cообщить модератору

45. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (45), 07-Апр-21, 14:06 
IntelliJ IDEA держит открытым порт на 127.0.0.1и через запущенный браузер можно выполнить код на локально запущенной IDEA. Там баг в сериализации, могу продать payload
Ответить | Правка | Наверх | Cообщить модератору

8. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +7 +/
Сообщение от Онаним (?), 07-Апр-21, 11:29 
Вот видите.
А озаботились бы раньше BLM и прочим SJW - глядишь и master.php.net бы не взломали.
Такие дела.
Ответить | Правка | Наверх | Cообщить модератору

81. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –2 +/
Сообщение от Аноним (83), 08-Апр-21, 06:50 
Кто о чем, а барнаулец о наболевшем.
Ответить | Правка | Наверх | Cообщить модератору

9. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +7 +/
Сообщение от Cradle (?), 07-Апр-21, 11:33 
вот это особенно понравилось "Код для работы с СУБД переделан для использования параметризованных запросов, усложняющих подстановку SQL-кода"

выходит, все предыдущие 25 лет они там не параметризованные были?

Ответить | Правка | Наверх | Cообщить модератору

15. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +3 +/
Сообщение от Аноним (15), 07-Апр-21, 12:00 
именно! а еще древная не обновляемая ОС, а еще MD5 в качестве хеша пароля (не удивлюсь если они даже без соли хранились).

похапешники - одним словом)))

Ответить | Правка | Наверх | Cообщить модератору

16. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +4 +/
Сообщение от Gemorroj (ok), 07-Апр-21, 12:04 
давай посмотрим на твой код 25 летней давности?
Ответить | Правка | Наверх | Cообщить модератору

19. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от istepan (ok), 07-Апр-21, 12:21 
Речь наминуточку, об инфраструктре от которой зависит большая часть интернета.
Это просто какое-то позорище.
Ответить | Правка | Наверх | Cообщить модератору

35. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –2 +/
Сообщение от fske (?), 07-Апр-21, 13:19 
>Речь наминуточку, об инфраструктре от которой зависит большая часть интернета

большая часть....ты не стендапер часом? шутка хорошая.

Ответить | Правка | Наверх | Cообщить модератору

75. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от funny.falcon (?), 08-Апр-21, 04:50 
Если ударение поставить на а, то всё нормально.
Ответить | Правка | Наверх | Cообщить модератору

88. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от FSA (??), 08-Апр-21, 10:01 
Лет 15 назад я тоже в md5 хранил. Но потом открыл для себя password_hash. Просто так взять и разослать по пользователями сообщение о смене пароля не мог. Просто прикрутил костыль. Добавил дополнительное поле для хранения пароля в новом виде. Всем, кто успешно логинился в систему автоматически заполнял это поле и удалял старый хеш. У кого старого хеша не было, проверял пароль через password_verify. Ну, и, если что, сайт в локалке крутился. От прошлых утечек уже не защита, а от новых вполне себе.
Ответить | Правка | К родителю #16 | Наверх | Cообщить модератору

31. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –9 +/
Сообщение от InuYasha (??), 07-Апр-21, 12:48 
> похапешники - одним словом)))

пхп не просто допускает, позволяет, разрешает такие техники программирования, но, имхо, одобряет, способствует, подталкивает, учит говнокодингу.
Я, как сиплюплюшник, всегда был в шоке от того как пишется код всяких веб-поделок. От того как хреново (т.е. почти никак) поток инструкций изолируется от потока данных. В общем, макаки сами себя полностью закопали, отклонив инициативу P++. В php hell им дорога.
И дотнетчикам с ГОпниками туда же.

Ответить | Правка | К родителю #15 | Наверх | Cообщить модератору

36. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от имя_ (?), 07-Апр-21, 13:19 
с++ един и страуструп пророк его!
Ответить | Правка | Наверх | Cообщить модератору

40. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от Аноним (39), 07-Апр-21, 13:44 
Как будто на С++ плохого кода нет.

А так-то само собой разумеется, что чем проще язык, тем больше на нем будет непрофессионального кода.

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

54. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (54), 07-Апр-21, 15:00 
Здесь постоянно новости проходят о дырках в твоей плюшечке
Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

61. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Lex (??), 07-Апр-21, 16:40 
> пхп не просто допускает, позволяет, разрешает такие техники программирования

Какие «техники» ?
-Не трогать то, что и так успешно работает ? Ведь именно это явилось следствием упомянутых проблем.

А то можно подумать, что сишники свой код еженедельно переписывают.. и пакеты новейшие устанавливают.. и ось переустанавливают

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

80. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –1 +/
Сообщение от Аноним (83), 08-Апр-21, 06:49 
> поток инструкций изолируется от потока данных

Это что еще такое?!

Поток инструкций... изолируется. Это про сегменты? Виртуалки? OpenCL? Что_ты_черт_возьми_такое_несешь.jpg

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

89. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от InuYasha (??), 08-Апр-21, 10:24 
Тебе, наверное, фамилия Фон Нойман вообще ни о чём не говорит. Жуй дальше веб-бананы.
Ответить | Правка | Наверх | Cообщить модератору

101. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (100), 10-Апр-21, 16:30 
> дотнетчикам с ГОпниками туда же.

Зря ты так, зря, зря.... ой зря...

Ответить | Правка | К родителю #31 | Наверх | Cообщить модератору

12. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (12), 07-Апр-21, 11:49 
> Взлом master.php.net рассматривается как наиболее вероятный сценарий, так как для данного сервера было использовано неполиткорректное имя, возбуждающее криминальные элементы в среде SJW. В связи с этим решено сменить имя на main.
Ответить | Правка | Наверх | Cообщить модератору

22. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Ordu (ok), 07-Апр-21, 12:23 
Если уж пошла такая пьянка, то надо было не менять: бесплатный пентест.
Ответить | Правка | Наверх | Cообщить модератору

91. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (91), 08-Апр-21, 10:52 
Вот тебе бабушка и столман день.
Ответить | Правка | Наверх | Cообщить модератору

14. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –2 +/
Сообщение от Аноним (12), 07-Апр-21, 11:51 
>Для хранения хэшей паролей в БД задействован алгоритм bcrypt (ранее пароли хранились с использованием ненадёжного хэша MD5).

Выпилить вообще парольную аутентификацию и вместо этого ввести аутентификацию по публичным ключам.

Ответить | Правка | Наверх | Cообщить модератору

17. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +3 +/
Сообщение от бублички (?), 07-Апр-21, 12:12 
как это поможет при краже приватного ключа с твоего компьютера, где ты в любимой десяточке откроешь какой-то веб-сайтик в устаревшем Chrome/Firefox? как это поможет когда баклан вроде тебя прощёлкает где-то ноутбук-планшет-мобильник где был приватный ключ в незащищщённом виде (C:\Users\Vasjan\Desktop\private.key)?
Ответить | Правка | Наверх | Cообщить модератору

18. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –2 +/
Сообщение от Аноним (29), 07-Апр-21, 12:20 
При входе с новых мест включать 2FA с подтверждением Trust computer
Ответить | Правка | Наверх | Cообщить модератору

26. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от InuYasha (??), 07-Апр-21, 12:26 
http://www.notcpa.org/
Ответить | Правка | Наверх | Cообщить модератору

20. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (29), 07-Апр-21, 12:22 
https://smallstep.com/sso-ssh/

https://smallstep.com/docs/platform

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

44. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от бублички (?), 07-Апр-21, 14:04 
даже ужасаюсь представить это на практике, но с позиций маркетинга очень красиво: Pro версия, интеграция с AWS и Azure. от этих слов (ещё забыли Kubernets) у любого эффективного менеджера (или руководителя проекта без всякого опыта в ИТ) гарантирован экстаз. представляю презентации типа "мы сделали даже лучше чем хотели, ведь мы лучшие и всё самое лучшее делаем лишь для вас. только купите - мы с вас не слезем"
Ответить | Правка | Наверх | Cообщить модератору

21. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –3 +/
Сообщение от istepan (ok), 07-Апр-21, 12:22 
Приватные ключи защищаются парольной фразой.
Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

23. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (29), 07-Апр-21, 12:23 
ssh-agent будет держать в кеше без парольной фразы.
Ответить | Правка | Наверх | Cообщить модератору

94. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (94), 08-Апр-21, 15:45 
И?
Ответить | Правка | Наверх | Cообщить модератору

25. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (29), 07-Апр-21, 12:25 
ssh-agent is a key manager for SSH. It holds your keys and certificates in memory, unencrypted, and ready for use by ssh. It saves you from typing a passphrase every time you connect to a server. It runs in the background on your system, separately from ssh, and it usually starts up the first time you run ssh after a reboot.

https://smallstep.com/blog/ssh-agent-explained/

Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

27. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от бублички (?), 07-Апр-21, 12:29 
зашифрованной сверхнадёжными DES-MD5 при пароле типа vasja123?
Ответить | Правка | К родителю #21 | Наверх | Cообщить модератору

79. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (83), 08-Апр-21, 06:47 
по глазу
Ответить | Правка | К родителю #14 | Наверх | Cообщить модератору

24. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от InuYasha (??), 07-Апр-21, 12:24 
Надо было ставить антивирус однофамильца - и никакие взломы были бы не страшны.
Ответить | Правка | Наверх | Cообщить модератору

43. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (43), 07-Апр-21, 14:01 
Тогда уж и сервер крутить на ПопенОС или как она там с нескучными
Ответить | Правка | Наверх | Cообщить модератору

73. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (73), 07-Апр-21, 23:31 
Болген, же.
Ответить | Правка | Наверх | Cообщить модератору

30. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –3 +/
Сообщение от user90 (?), 07-Апр-21, 12:45 
> проекта PHP двух вредоносных коммитов

"вредоносного проЭкта PHP", fixed!

Ответить | Правка | Наверх | Cообщить модератору

32. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (32), 07-Апр-21, 12:59 
Дырявый язык с дырявым репозиторием. Разаботчики хоть не дырявые?
Ответить | Правка | Наверх | Cообщить модератору

38. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от fske (?), 07-Апр-21, 13:21 
а как ты считаешь, если они переехали с master на main?
Ответить | Правка | Наверх | Cообщить модератору

55. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +2 +/
Сообщение от Аноним (54), 07-Апр-21, 15:07 
Школьник-пубертат везде дырки ищет
Ответить | Правка | К родителю #32 | Наверх | Cообщить модератору

66. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от имя_ (?), 07-Апр-21, 17:47 
не просто ищет, а еще и носом крутит - не нравятся ему некоторые!
Ответить | Правка | Наверх | Cообщить модератору

95. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (95), 08-Апр-21, 18:20 
Ну это всяко лучше типичного пэхапешника, который везде дырки находит, а потом страдает от болячек. Запомните нужно правильно выбирать партнера
Ответить | Правка | Наверх | Cообщить модератору

34. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (34), 07-Апр-21, 13:08 
Вот бы им мигрировать на Codeberg или Notabug в конце концов
Ответить | Правка | Наверх | Cообщить модератору

65. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (43), 07-Апр-21, 17:39 
А чем хорош Codeberg?
Ответить | Правка | Наверх | Cообщить модератору

37. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от YetAnotherOnanym (ok), 07-Апр-21, 13:20 
> аутентификация выполнялась при помощи HTTP-сервера Apache2

Эээ... имеется в виду аутентификация средствами HTTP?

Ответить | Правка | Наверх | Cообщить модератору

41. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от DEF (?), 07-Апр-21, 13:46 
Почему bcrypt, а не argon2? Чем они думают воообще там?
Ответить | Правка | Наверх | Cообщить модератору

42. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от erthink (ok), 07-Апр-21, 13:56 
> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

Откровенно говоря, страшно подумать, что можно ожидать при таком уровне в собственном коде разработчиков, без ревью и аудита.

Ляпы у всех бывают, но тут как-то перебор.

Ответить | Правка | Наверх | Cообщить модератору

49. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (49), 07-Апр-21, 14:26 
> Ляпы у всех бывают, но тут как-то перебор.

Проблема в отсутствии ответственных за инфраструктуру людей.

Ответить | Правка | Наверх | Cообщить модератору

56. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от бублички (?), 07-Апр-21, 15:13 
ты правда хотел бы нести ответственность за подобных горе-разработчиков? или же ты надеешься их переубедить? за спиной будешь стоять и бить по рукам что тянутся сотворить очередную глупость? брось, это они переубедят тебя, ещё вдобавок задавят опытом а потом выпрут за проф-непригодность (и отсутствие толерантности к геям-неграм). ну обновили они сервер (PHP 8 вместо 5), но мышление то у них не обновилось. ждём продолжения
Ответить | Правка | Наверх | Cообщить модератору

78. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (83), 08-Апр-21, 06:44 
на моем веку в мастер загружали после ревю чудовищную бредятину, только потому что ревб - это не про разум, а про то кто больше орет, отказывается дискутировать, занимая принципиально бескомпромиссную позицию, и у кого выше позиция. Короче ни ревью, ни аудит, ни Open Source - сегодня ничего не гарантируют.
Ответить | Правка | К родителю #42 | Наверх | Cообщить модератору

58. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (58), 07-Апр-21, 16:02 
> т.е. они заранее знали пароли Расмуса и Никиты, но не знали их логины. Если атакующие смогли получить доступ к СУБД, то непонятно, почему они сразу не использовали указанный там корректный логин.

Видать они:
* использовали один пароль на несколько сервисов.
* подхватили кейлогер на своих рабочих компах.

Если дело в кейлогерах, то помогут ключи с аппаратной защитой секретного ключа.

Ответить | Правка | Наверх | Cообщить модератору

70. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Anona (?), 07-Апр-21, 22:54 
Не вполне: на зараженной машине можно перехватить пин токена, дождаться его подключения и подписать необходимое.
Ответить | Правка | Наверх | Cообщить модератору

59. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –1 +/
Сообщение от Аноним (59), 07-Апр-21, 16:02 
MD5 - "я и балл"!
Ответить | Правка | Наверх | Cообщить модератору

60. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (60), 07-Апр-21, 16:40 
после взлома надо было удалить весь пхп
Ответить | Правка | Наверх | Cообщить модератору

62. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (62), 07-Апр-21, 16:47 
ВпоПЫХах.
Ответить | Правка | Наверх | Cообщить модератору

76. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (76), 08-Апр-21, 05:26 
вПОПЫах
Ответить | Правка | Наверх | Cообщить модератору

96. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (95), 08-Апр-21, 18:21 
Шалун
Ответить | Правка | Наверх | Cообщить модератору

63. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +4 +/
Сообщение от Аноним (63), 07-Апр-21, 17:08 
>> Через какое-то время пришло осознание, что блокировка не имела смысла, так как без верификации коммитов по цифровой подписи, любой участник с доступом к репозиторию php-src мог внести изменение, подставив фиктивное имя автора.

Всё что нужно знать об отличиях git от svn

Ответить | Правка | Наверх | Cообщить модератору

68. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –3 +/
Сообщение от пох. (?), 07-Апр-21, 20:00 
костылинг и подпоркинг вместо аутентификации добавьте в списочек.

Потомушта для "парежьте памельче, в экран нивлазиет, и пришлите в рассылку" все это, конечно, излишне.

Ответить | Правка | Наверх | Cообщить модератору

71. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Anona (?), 07-Апр-21, 22:58 
Вообще, для крупных изменений в ядре предусмотрено [GIT PULL].
Ответить | Правка | Наверх | Cообщить модератору

69. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –1 +/
Сообщение от Ilya Indigo (ok), 07-Апр-21, 20:41 
> на данном сервере был использован очень старый код и устаревшая ОС, которые давно не обновлялись и имели неисправленные уязвимости.

Работает - не трожь! Говорили они.

> master --> main

А не ради этого ли всё затевалось?

Ответить | Правка | Наверх | Cообщить модератору

92. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +1 +/
Сообщение от Аноним (92), 08-Апр-21, 12:34 
Последние обновления спасают от подбора паролей?
Ответить | Правка | Наверх | Cообщить модератору

93. "Отчёт о компрометации git-репозитория и базы пользователей п..."  –1 +/
Сообщение от Ilya Indigo (ok), 08-Апр-21, 12:37 
> Последние обновления спасают от подбора паролей?

Вы новость читали?
Пароль НЕ подбирали его уже знали.

Ответить | Правка | Наверх | Cообщить модератору

77. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (83), 08-Апр-21, 06:41 
Опять Никита Попов...

Надо бы PHP-никам проверить его на связь с Лубяночкой кек

Ответить | Правка | Наверх | Cообщить модератору

85. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от еманйам (?), 08-Апр-21, 08:19 
паяльник уже подключен к розетке - 100% сознается
Ответить | Правка | Наверх | Cообщить модератору

84. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от еманйам (?), 08-Апр-21, 08:18 
master переделали в main

опять "хакеры во всём виноваты" - при чём, желательно русские.

Ответить | Правка | Наверх | Cообщить модератору

97. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (83), 09-Апр-21, 09:17 
Во-первых, нежелательно, но все же все время русские, китайские или северо-корейские. Что логично, конечно.
Во-вторых, "причём" - слитно.
Ответить | Правка | Наверх | Cообщить модератору

87. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (91), 08-Апр-21, 08:52 
Кстати, Столлман не имеет ничего против разработки customized software — специально заточенного софта для разных конторских нужд, и получения за сиё колдунство грязных денег.
Ответить | Правка | Наверх | Cообщить модератору

99. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (99), 09-Апр-21, 11:02 
Что будет с php, если представить, чисто гипотетически, что Лердорф и Попов перестанут им заниматься? Насколько большая команда вообще занимается развитием php?
Ответить | Правка | Наверх | Cообщить модератору

102. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Аноним (102), 15-Апр-21, 14:08 
Небольшая, насколько понимаю, человек 30-40, из которых реально активных может быть 10
Ответить | Правка | Наверх | Cообщить модератору

103. "Отчёт о компрометации git-репозитория и базы пользователей п..."  +/
Сообщение от Gemorroj (ok), 07-Май-21, 19:00 
лердорф давно не занимается php. занимаются активно только попов и стогов.
Ответить | Правка | К родителю #99 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру