有人入侵了PHP PEAR网站，替换了官方的包管理器

当心如果您在过去6个月内从其官方网站下载了PHP PEAR package manager，我们很抱歉，您的服务器可能已被破坏。

梨php。网)他们发现有人用核心PEAR文件系统中的一个修改版本替换了原来的PHP PEAR包管理器（go PEAR.phar）。

尽管PEAR开发者仍在分析该恶意软件包，但2019年1月19日发布的一份安全公告证实，被指控的被黑客攻击的网站已经为被恶意代码污染的安装文件提供了至少半年的下载服务。

这个PHP扩展和应用程序存储库（PEAR）是一个社区驱动的框架和分发系统，任何人都可以搜索和下载用PHP编程语言编写的免费库。

这些开源库（更好地称为包）允许开发人员轻松地将其他功能包括到他们的项目和网站中，包括身份验证、缓存、加密、web服务等。

当您下载用于Unix/Linux/BSD系统的PHP软件时，PEAR下载管理器（go PEAR.phar）是预先安装的，而Windows和Mac OS X用户需要在需要时手动安装该组件。
由于许多网络托管公司，包括共享托管提供商，也允许其用户安装和运行PEAR，这一最新的安全漏洞可能会影响大量网站及其访问者。

“如果你在过去六个月下载了这个go-pear.phar，你应该从GitHub（pear/pearweb_phars）获得同一版本的新副本，并比较文件哈希。如果不同，你可能有受感染的文件，”pear官方网站上的注释写道。

根据PEAR维护人员的说法，该团队目前正在进行法医调查，以确定攻击的程度，以及攻击者最初是如何设法破坏服务器的。

pearweb_phars的新版本1.10.10现已在Github上发布，该版本“将正确的‘go pear.phar’重新发布为v1.10.9，该文件在https://pear.php.net'服务器，现在包含单独的GPG签名文件和每个'phar'。"

开发商进一步通知，只有pear上的副本。php。据他们所知，net服务器受到了影响，GitHub的go pear副本也受到了影响。法尔没有妥协。

由于PEAR官员刚刚发出警告通知，没有公布有关安全事件的任何细节，目前尚不清楚是谁策划了这次袭击。

开发者们在推特上表示，一旦PEAR重新上线，他们将在其博客上发布“更详细的公告”。

所有下载了安装文件的PHP/PEAR用户都可以使用PEAR。PHAR从官方网站在过去六个月内应该考虑自己妥协，并迅速下载和安装GITHUB版本。

UPDATE — The PEAR team has published more details about the recent security incident, explaining the tainted "go-pear.phar" found on its server appeared to be planted after the last official file release on 20 December 2018.

在分析受感染的package manager版本后，该团队发现，恶意模块“通过Perl生成一个反向外壳，通过IP 104.131.154.154”来自受感染的服务器，允许攻击者完全控制它们，包括安装应用程序、运行恶意代码和窃取敏感数据的能力。

德国网络安全组织DCSO也分析了受污染的代码，据该组织称，服务器IP地址104.131.154.154指向一个web域bestlinuxgames[.]具有，它认为这是攻击者使用的受损主机。

pear团队在一系列推文中表示：“该IP已向其主机报告了与该污染有关的情况。未发现其他漏洞。install-pear-nozlib.phar正常。GitHub上的go-pear.phar文件正常，可以用作任何可疑副本的良好md5sum比较。”。

“因此，如果您从12/20开始下载go-pear.phar，以便在系统上安装pear软件包时运行一次，您*应该*担心，尤其是如果您的系统有'sh'和'perl'可用。”

“如果您在12/20之前下载了go-pear.phar，我们没有具体证据表明您收到了受感染的文件……但如果您在过去几个月内使用go-pear.phar执行pear安装，请谨慎地检查您的系统。”

“还要注意，这不会*影响PEAR安装程序包本身……它会影响最初安装PEAR安装程序时使用的go-PEAR.phar可执行文件。使用'PEAR'命令安装各种PEAR程序包*不*受影响。”