Repositorio del Código PHP Hackeado ¿Debemos Preocuparnos?

Categorias: General

Repositorio del Código PHP Hackeado ¿Debemos Preocuparnos?

El repositorio que alberga el código fuente de PHP se ha visto comprometido en las últimas horas. Teniendo en cuenta que PHP está en casi el 80% de todos los sitios web, la pregunta que puedes hacerte es clara. ¿Debo preocuparme?

PHP es el lenguaje de programación que usan WordPress, PrestaShop y casi el 80% de los sitios web del mundo en Internet y eso es mucho Internet.

En las última horas han anunciado que se han detectado dos intrusiones en el repositorio que aloja el código fuente de PHP, las dos con intención de añadir una puerta trasera «backdoor» en el propio código PHP.

Si bien estas intrusiones se detectaron rápidamente y desde PHP han asegurado que no existe riesgo alguno, no deja de ser inquietante y puede preocupar a los usuarios que escuchen o lean la noticia sin saber exactamente si deben hacer algo o no para estar a salvo.

Vamos a intentar aclarar un poco todo lo que ha pasado y si tienes que preocuparte por algo o puedes dormir tranquilo por las noches.


Tenemos diferentes tipos de hosting, selecciona uno:


Repositorios, Código Fuente, ¿Cómo es Posible Acceder?

Repositorios, Código Fuente... ¿Cómo es Posible Acceder?

Quizás te estás preguntando cómo es posible que alguien pueda acceder al repositorio del código fuente del lenguaje de programación web más utilizado en el mundo.

En realidad PHP es de código abierto, esto significa que cualquiera con conocimientos puede contribuir para mejorarlo.

No existe una empresa detrás que contrate a programadores para desarrollar el código y comercializarlo, PHP es de libre uso y lo mantiene la comunidad.

Aunque si que existe un equipo de desarrolladores, llamado PHP Group, que se encarga de organizar todo el sistema de actualizaciones y desarrollo.

Que cualquiera pueda contribuir no significa que cualquiera pueda tener acceso al código que PHP que vas a instalar en tu servidor, obviamente.

Para poder ser miembro de la comunidad, PHP Group gestiona un repositorio a través de un sistema interno de karma, en el cual se valoraba a los contribuyentes para darles mas o menos permisos de acceso.

Si te extraña que algo tan importante como el PHP sea de código abierto, no lo hagas, WordPress, PrestaShop, MySQL o Apache, también lo son y se utilizan en la mayoría de los sitios web que visitas a diario.

Según han comentado desde PHP Group el ataque parece haberse producido por un fallo en el repositorio git.php.net, el cuál es un espejo del repositorio principal.

Todavía no saben cómo se ha podido producir y la investigación sigue en curso, aunque ya han tomado medidas para evitar esto.

A partir de ahora se utilizará el popular repositorio de GitHub, el sistema de karma queda desactivado y para poder ser contribuyente se deberá solicitar el acceso a PHP Group.

Para poder acceder, será imprescindible utilizar la autenticación de doble factor o 2FA. Esto es cuando tienes que usar un móvil u otro dispositivo verificado para confirmar el acceso a una cuenta.

 

El Ataque al Repositorio de PHP ¿Afecta a mis Sitios Web?

El Ataque al Repositorio de PHP ¿Afecta a mis Sitios Web?

Si el código PHP se ha comprometido y mi WordPress/PrestasShop/Joomla funciona con PHP ¿Están en peligro mis sitios web?.

Esta es la pregunta del millón y la respuesta corta es: no, no estás en peligro para nada, ni tu WordPress, PrestaShop o cualquier otro sitio web que utilice PHP, al menos no por este motivo en particular.

El ataque se ha realizado en la rama de desarrollo de PHP 8.1 y ahora mismo la versión más actual disponible es la 8.0.

La versión afectada, 8.1, no saldrá hasta finales de año, lo que significa que el ataque se envió a una rama que todavía no está en producción. Esto quiere decir, que no se está utilizando todavía.

Además el problema de seguridad se detecto muy rápidamente y desde PHP Group, afirma que no se llegó a publicar, así que no llegó, ni llegará a ningún servidor.

¿Aviso o Ataque Real?

El ataque, por así llamarlo, ha sido poco elaborado y muy poco trabajado, por no llamarlo «cutre», lo que está causando ciertas suspicacias en la comunidad.

Tenía muy pocas oportunidades de salir bien, por no decir ninguna, debido al exhaustivo control del código que envían los contribuyentes, aunque se hayan hecho pasar por otras personas muy reconocidas en la comunidad PHP.

Existen tres argumentos principales que se están valorando.

La primera y más evidente, un atacante que tenía la intención de infectar el código fuente utilizado en el 80% de los servidores en el mundo.

De salirle bien, podría haberse «hecho de oro» vendiendo su puerta trasera a cientos o miles de atacantes en todo el mundo, aunque no parece que sea muy real debido a, como hemos dicho, lo poco elaborado del ataque.

Otras versión apunta a una especie de «aviso» a la comunidad. Alguien que haya detectado el problema y haya «jugado» con esto para advertirles de lo que se podía hacer y que era necesario tomar medida para cambiarlo.

En el código existían referencia a una empresa de seguridad llamada Zerodium, lo cuales ya han dicho que no son los responsables, que indica que esta puede ser la versión más plausible.

Y por último también se está pensando en un Script Kiddie, una persona con ciertas habilidades que sabe usar scripts de terceros, no creados por él mismo, con la intención de atacar ordenadores o servidores de terceros.

Es un término despectivo que utiliza la comunidad para señalar a las personas que no son capaces de programar sus propios script o exploits y utiliza los de otros personas con el único objetivo de «presumir» de unos conocimientos que realmente no posee.

Dada la poca elaboración del ataque también encajaría con esto, aunque por ahora no se sabe qué o quiénes han sido los responsables.

En cualquier caso, lo importante es que la comunidad ha reaccionado casi al instante y ha tomado las medidas necesarias para que esto no vuelva a pasar, así que por ahora, parece que PHP está en buenas manos.

 

Hosting SSD con IP Española

  • Hosting SSD 1desde3´27€ / mes
  • Hosting SSD 2desde3´85€ / mes
  • Hosting SSD 4desde5´60€ / mes
  • Hosting SSD 1desde3´27€/mes
  • Hosting SSD 2desde3´85€/mes
  • Hosting SSD 4desde5´60€/mes
    • Almacenamiento en disco dura ultra rapido SSD
    • El espacio en disco es la suma del espacio que ocupan los archivos que forman la web y el correo electrónico.
    • La transferencia de datos mensual es la cantidad total de información que se descargan los visitantes de nuestra web en cada acceso más nuestro uso a través de FTP y correo.
    • Cada dominio alojado muestra un contenido único y diferente del resto
    • Tras evaluación de nuestro equipo de migraciones y nuevas altas de Hosting
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Todo lo que necesitas para sacar partido a tu Host
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Elige la versión de PHP que necesites
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Migramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a HostinetMigramos tu web de tu actual host a Hostinet
    • Contrata tu hosting web y consigue dominios gratisUna vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.Una vez dado de alta tu alojamiento web, recibirás los vales correspondientes para registrar nuevos dominios .ES, .COM ó .EU.
    • Aparcando un dominio secundario en el alojamiento de nuestro dominio principal conseguimos que ambos dominios resuelvan indistintamente con la misma página que tenemos colgada.
    • Cuentas de correo gestionables a través de POP, IMAP y servicio Webmail
    • Tus buzones de correo y mails limpios de virus y con un potente filtro antispam
    • Centro de datos en Madrid (España)
    • Opcion de contratación de IP dedicadaPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUIPuedes contratar tu Ip dedicada por solo 11.95 € al año AQUI
    • Certificado SSL autofirmadoCertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUICertificados Let's Encrypt. Mas Información AQUI
    • Opción de contratación de certificados SSL Wildcard. Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUIPuedes contratar tu certificado SSL desde solo 99.95 € al año AQUI
    • Opción de contratación de certificados SSL Extended Validation (EV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 195.00 € al año AQUI
    • Opción de contratación de certificados SSL Organization Validation (OV). Se requiere Ip dedicada.Puedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUIPuedes contratar tu certificado SSL desde solo 525.00 € al año AQUI
    • Con nuestra herramienta WebFácil construye tu página web en solo 5 pasos.
    • Con la herramienta de instalación Softaculous tan solo deberás elegir la aplicación deseada y con tan solo un par de clicks y de forma totalmente automatizada tendrás tus herramientas favoritas instaladas en tu Host.
    • Bases de datos MySQL disponibles para su uso en cada alojamiento web
    • Supeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamientoSupeditado al espacio total del alojamiento
    • ¿Quieres realizar desarrollos con Python? En Hostinet innovamos dia a dia en tu beneficio y por ello te presentamos como última novedad en todos nuestros servidores Web la posibilidad de desplegar tus aplicaciones con Python directamente desde el cPanel de tu Hosting.
    • ¿Quieres desarrollar tus aplicaciones con Ruby? En Hostinet te presentamos como última novedad en todos nuestros servicios de Hosting Web la posibilidad de desplegar tus aplicaciones con Ruby on Rails directamente desde el panel de control cPanel.
    • El fichero .htaccess permite modificar diferentes variables en la configuración de nuestra cuenta de alojamiento en el servidor.
    • El módulo mod_rewrite permite crear direcciones URL alternativas a las dinámicas generadas por la programación de nuestros sitio web (blog, foro, portal…), de tal modo que sean más legibles y fáciles de recordar
    • Te ayudamos vía email y teléfono en todas tus consultas sobre hosting web. Soporte en español por personal de Hostinet.
    • Completa recopilación de tutoriales sobre Hosting y Dominios
    • 30 dias para probar tu servicio de Hosting y si no te convence el servicio... te devolvemos el dinero!!
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones
    • Precios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contratacionesPrecios para nuevas contrataciones