上週,PEAR的維護人員發現有人用核心PEAR文件系統中的修改版本替換了原來的PHP PEAR包管理器(go-pear.phar),於是他們關閉了PEAR的官方網站(PEAR-PHP.net)。
儘管PEAR開發人員仍在分析惡意包,但根據他們2019年1月19日發佈的一份安全聲明,因被******,網站被惡意代碼感染的安裝文件至少已存在半年。
PHP擴展和應用程序存儲庫(PEAR)是一個社區驅動的框架和分發系統,任何人都可以在其中搜索和下載用PHP編程語言編寫資源。這些開源庫(通常稱爲包)允許開發人員輕鬆地在其項目和網站中輕鬆添加其他功能,比如身份驗證、緩存、加密、web服務等等。
當用戶爲Unix/Linux/BSD系統下載PHP軟件時,PEAR download manager (go-pear.phar)會預先安裝,而Windows和Mac OS X用戶需要手動安裝組件。
由於許多網絡託管公司(包括共享託管服務提供商)也允許其用戶安裝和運行PEAR,因此這種最新的安全漏洞可能會影響大量網站及其訪問者。
PEAR官方網站關於此次問題上的說明如下:
“如果您在過去六個月內已經下載了這個go-pear.phar,那麼您應該從GitHub(pear / pearweb_phars)獲取相同發行版本的新副本並比較hash文件。如果文件內容不同,您的設備內可能會有受感染的文件。”
根據PEAR維護者的說法,該團隊目前正在調查實際情況,以確定***的影響範圍以及***者最初如何設法破壞服務器。pearweb_phars的新版本1.10.10現在可以在Github上下載使用,Github也重新發布了乾淨的go-pear版本”。
“go-pear.phar”爲v1.10.9版本,是研究人員發現官網服務器內受污染的文件,現在每個phar文件都含有獨立的GPG簽名。但目前只發現pear.php.net服務器上的副本受到了影響,因此影響了go-pear的GitHub副本。
由於PEAR官方只發出了警告通知,同時並沒有公佈安全事件的任何細節,目前幕後黑手的身份仍然未能確定。
所有在過去六個月內從官方網站下載安裝文件go-pear.phar的PHP / PEAR用戶都應該警惕設備是否受到了污染侵害,並快速下載並安裝Github的“乾淨”版本。
Pear的更新團隊表示,其服務器上被惡意代碼感染的“go-pear.phar”文件於1月18日由Paranoids FIRE團隊發現,而被污染的文件的最後一次官方更新時間是2018年12月20日。
在分析了軟件包管理器的污染版本之後,研究團隊發現惡意模塊的設計是“通過Perl從IP4產生反向shell到IP 104.131.154.154”,從而允許***者完全控制受感染的服務器,擁有安裝應用程序,運行惡意代碼以及竊取敏感數據的能力。
pear團隊對用戶表示:
“如果您從12月20日開始下載go-pear.phar,且在您的系統上安裝了PEAR包,那麼您應該擔心設備的安全狀況。
如果您在12月20日之前下載了go-pear.phar,可放下疑慮,因爲我們沒有收到受感染文件的具體證據......但如果您使用go-pear.phar執行PEAR安裝,那麼最好對你的系統進行檢查。
另外請注意,這不會影響PEAR安裝程序包本身,但會影響您最初安裝PEAR安裝程序時使用的go-pear.phar可執行文件。而使用'pear'命令安裝各種PEAR包則不受影響。”