半年之内从 PHP PEAR官网下载过数据包管理器吗？你的服务器可能被攻陷了…

聚焦源代码安全，网罗国内外最新资讯！

编译：360代码卫士团队

告诉你一个坏消息，如果你在过去六个月之中从PHP PEAR官网(pear-php.net)上下载过数据包管理器，那么你的服务器很可能已被攻陷了。

上周，PEAR维护人员下线官网，原因是他们发现有人用修改版本替换了PEAR核心文件系统中的原始PHP PEAR数据包管理器(go-pear.phar)。

尽管PEAR开发人员仍然还在分析这个恶意数据包，但他们在2019年1月19日发布安全公告，证实称官网上的安装文件中含有恶意代码，且最少已存在半年的时间。

PHP扩展及应用存储库(PEAR)是社区驱动框架和分布系统，可供任何人搜索并下载用PHP编写的免费库。

这些开源库（数据包）允许开发人员轻易地在项目和网站中增加额外功能，包括认证、缓存、加密、web服务等。

当用户下载Unix/Linux/BSD系统的PHP软件时，PEAR下载管理器(go-pear.phar)是预先安装的，而Windows和Mac OS X用户需要手动安装该组件。

由于很多web托管公司，包括共享托管提供商也允许用户安装并运行PEAR，因此这次安全事故可能影响大量网站和访客。

PEAR官方网站指出，“如果你在过去六个月中下载了该go-pear.phar，那么就应该从GitHub (pear/pearweb_phars)上获取相同发布版本的新版本并对比文件哈希。如哈希不同，则你的文件可能遭感染。”

PEAR维护人员指出，团队正在进行取证调查，判断攻击的范围以及攻击者是如何设法攻陷服务器的。

由于PEAR官方已发布警告且并未发布和该安全事件相关的详情，因此目前尚不知晓谁是幕后黑手。开发人员在推特上表示，恢复正常后将提供“更加详细的公告消息”。

在过去六个月中，从官网下载了go-pear.phar程序的所有PHP/PEAR用户应该考虑是否遭攻陷且快速下载并安装GitHub版本。

https://thehackernews.com/2019/01/php-pear-hacked.html