பிரத்யேகமாக வடிவமைக்கப்பட்ட பயனர் முகவர் தலைப்புடன் கோரிக்கையை அனுப்பும் போது, PHP திட்டப்பணியின் Git களஞ்சியத்தில் இரண்டு தீங்கிழைக்கும் கமிட்களை அடையாளம் காண்பது தொடர்பான ஒரு சம்பவத்தின் பகுப்பாய்வின் முதல் முடிவுகள் வெளியிடப்பட்டுள்ளன. தாக்குபவர்களின் செயல்பாடுகளின் தடயங்களைப் படிக்கும் போது, git களஞ்சியம் அமைந்துள்ள git.php.net சேவையகம் ஹேக் செய்யப்படவில்லை, ஆனால் திட்ட உருவாக்குநர்களின் கணக்குகளுடன் தரவுத்தளம் சமரசம் செய்யப்பட்டது என்று முடிவு செய்யப்பட்டது. .
மாஸ்டர்.php.net சேவையகத்தில் DBMS இல் சேமிக்கப்பட்ட பயனர் தரவுத்தளத்தை தாக்குபவர்களால் பதிவிறக்கம் செய்ய முடிந்தது. master.php.net இன் உள்ளடக்கங்கள் ஏற்கனவே புதிதாக நிறுவப்பட்ட main.php.net சேவையகத்திற்கு மாற்றப்பட்டுள்ளன. php.net உள்கட்டமைப்பை அணுகப் பயன்படுத்தப்படும் அனைத்து டெவலப்பர் கடவுச்சொற்களும் மீட்டமைக்கப்பட்டன மற்றும் அவற்றை மாற்றுவதற்கான செயல்முறை ஒரு சிறப்பு கடவுச்சொல் மீட்பு படிவத்தின் மூலம் தொடங்கப்பட்டது. git.php.net மற்றும் svn.php.net களஞ்சியங்கள் படிக்க மட்டுமே இருக்கும் (மேம்பாடு GitHub க்கு நகர்த்தப்பட்டது).
PHP இன் நிறுவனர் ராஸ்மஸ் லெர்டோர்ஃப் கணக்கின் மூலம் செய்யப்பட்ட முதல் தீங்கிழைக்கும் செயலைக் கண்டுபிடித்த பிறகு, அவரது கணக்கு ஹேக் செய்யப்பட்டதாகக் கருதப்பட்டது மற்றும் முக்கிய PHP டெவலப்பர்களில் ஒருவரான நிகிதா போபோவ், மாற்றங்களைத் திரும்பப் பெற்று, அதற்கான உரிமைகளைத் தடுத்தார். பிரச்சனைக்குரிய கணக்கு. டிஜிட்டல் கையொப்பத்தைப் பயன்படுத்தி உறுதிமொழிகளைச் சரிபார்க்காமல், php-src களஞ்சியத்தை அணுகக்கூடிய எந்தவொரு பங்கேற்பாளரும் கற்பனையான ஆசிரியரின் பெயரை மாற்றுவதன் மூலம் மாற்றத்தை ஏற்படுத்தலாம் என்பதால், சில காலத்திற்குப் பிறகு, தடுப்பதில் அர்த்தமில்லை என்பது புரிந்தது.
அடுத்து, தாக்குதல் நடத்தியவர்கள் நிகிதாவின் சார்பாக ஒரு தீங்கிழைக்கும் உறுதிமொழியை அனுப்பினர். களஞ்சியங்களுக்கான அணுகலை ஒழுங்கமைக்கப் பயன்படுத்தப்படும் கிட்டோலைட் சேவையின் பதிவுகளை பகுப்பாய்வு செய்வதன் மூலம், உண்மையில் மாற்றங்களைச் செய்த பங்கேற்பாளரைத் தீர்மானிக்க ஒரு முயற்சி மேற்கொள்ளப்பட்டது. அனைத்து பொறுப்புகளுக்கும் கணக்கியல் சேர்க்கப்பட்டுள்ள போதிலும், இரண்டு தீங்கிழைக்கும் மாற்றங்களுக்கான பதிவில் உள்ளீடுகள் எதுவும் இல்லை. கிட்டோலைட் வழியாக இணைப்பைத் தவிர்த்து, கமிட்கள் நேரடியாகச் சேர்க்கப்பட்டதால், உள்கட்டமைப்பில் சமரசம் ஏற்பட்டது என்பது தெளிவாகியது.
git.php.net சேவையகம் உடனடியாக முடக்கப்பட்டது, மேலும் முதன்மை களஞ்சியம் GitHub க்கு மாற்றப்பட்டது. அவசரமாக, களஞ்சியத்தை அணுக, கிட்டோலைட்டைப் பயன்படுத்தி SSH ஐத் தவிர, HTTPS வழியாக கமிட்களை அனுப்ப உங்களை அனுமதிக்கும் மற்றொரு உள்ளீடு இருந்தது என்பது மறந்துவிட்டது. இந்த நிலையில், git-http-backend ஆனது Git உடன் தொடர்பு கொள்ள பயன்படுத்தப்பட்டது, மேலும் Apache2 HTTP சேவையகத்தைப் பயன்படுத்தி அங்கீகாரம் செய்யப்பட்டது, இது master.php.net சேவையகத்தில் DBMS இல் ஹோஸ்ட் செய்யப்பட்ட தரவுத்தளத்தை அணுகுவதன் மூலம் நற்சான்றிதழ்களை சரிபார்க்கிறது. விசைகளுடன் மட்டுமல்லாமல், வழக்கமான கடவுச்சொல்லுடனும் உள்நுழைவு அனுமதிக்கப்பட்டது. http சர்வர் பதிவுகளின் பகுப்பாய்வு HTTPS வழியாக தீங்கிழைக்கும் மாற்றங்கள் சேர்க்கப்பட்டதை உறுதிப்படுத்தியது.
பதிவுகளைப் படிக்கும் போது, தாக்குதல் நடத்தியவர்கள் முதல் முறையாக இணைக்கவில்லை என்பது தெரியவந்தது, ஆனால் முதலில் கணக்கின் பெயரைக் கண்டுபிடிக்க முயற்சித்தது, ஆனால் அதை அடையாளம் கண்டுகொண்ட பிறகு, அவர்கள் முதல் முயற்சியிலேயே உள்நுழைந்தனர், அதாவது. அவர்கள் ராஸ்மஸ் மற்றும் நிகிதாவின் கடவுச்சொற்களை முன்கூட்டியே அறிந்திருந்தனர், ஆனால் அவர்களது உள்நுழைவுகள் தெரியாது. தாக்குபவர்கள் DBMSக்கான அணுகலைப் பெற முடிந்தால், அங்கு குறிப்பிடப்பட்டுள்ள சரியான உள்நுழைவை அவர்கள் ஏன் உடனடியாகப் பயன்படுத்தவில்லை என்பது தெளிவாகத் தெரியவில்லை. இந்த முரண்பாடு இன்னும் நம்பகமான விளக்கத்தைப் பெறவில்லை. master.php.net இன் ஹேக் மிகவும் சாத்தியமான சூழ்நிலையாகக் கருதப்படுகிறது, ஏனெனில் இந்த சேவையகம் மிகவும் பழைய குறியீடு மற்றும் காலாவதியான OS ஐப் பயன்படுத்தியது, இது நீண்ட காலமாக புதுப்பிக்கப்படாதது மற்றும் இணைக்கப்படாத பாதிப்புகளைக் கொண்டுள்ளது.
எடுக்கப்பட்ட செயல்களில் master.php.net சர்வர் சூழலை மீண்டும் நிறுவுதல் மற்றும் PHP 8 இன் புதிய பதிப்பிற்கு ஸ்கிரிப்ட்களை மாற்றுதல் ஆகியவை அடங்கும். DBMS உடன் பணிபுரியும் குறியீடு SQL குறியீட்டின் மாற்றீட்டை சிக்கலாக்கும் அளவுரு வினவல்களைப் பயன்படுத்த மாற்றியமைக்கப்பட்டுள்ளது. தரவுத்தளத்தில் கடவுச்சொல் ஹாஷ்களை சேமிக்க bcrypt அல்காரிதம் பயன்படுத்தப்படுகிறது (முன்பு, கடவுச்சொற்கள் நம்பமுடியாத MD5 ஹாஷைப் பயன்படுத்தி சேமிக்கப்பட்டன). ஏற்கனவே உள்ள கடவுச்சொற்கள் மீட்டமைக்கப்பட்டன மற்றும் கடவுச்சொல் மீட்பு படிவத்தின் மூலம் புதிய கடவுச்சொல்லை அமைக்கும்படி கேட்கப்படுவீர்கள். HTTPS வழியாக git.php.net மற்றும் svn.php.net களஞ்சியங்களுக்கான அணுகல் MD5 ஹாஷ்களுடன் இணைக்கப்பட்டதால், git.php.net மற்றும் svn.php.net ஆகியவற்றை படிக்க-மட்டும் முறையில் விட்டுவிட்டு, அனைத்தையும் நகர்த்தவும் முடிவு செய்யப்பட்டது. முக்கிய PHP களஞ்சியத்தைப் போலவே GitHub இல் PECL நீட்டிப்பு களஞ்சியங்கள் மீதமுள்ளவை.
ஆதாரம்: opennet.ru