phpBB 的官方下载链接遭黑客替换 约被下载 500 次

phpBB是自由软件，也是开放源代码的网络论坛系统，使用PHP作为程式语言，并支持如MySQL、PostgreSQL、MSSQL、SQLite、Microsoft Access与Oracle等的资料库。

根据 phpBB 开发团队近日发布的声明，一个未知攻击者替换了论坛软件 phpBB 的官方下载链接。

黑客的攻击只针对两个下载链接，分别是 phpBB 3.2.2 完整安装包和 phpBB 3.2.1 -> 3.2.2 的自动升级包。这是 phpBB 今年 1 月 7 日发布的最新版本。

据 phpBB 开发团队表示，被替换的下载链接仅在 181 分钟内有效，不过他们并没有透露攻击者替换下载链接的确切细节，只是说道，入口点是第三方网站，而且在这次攻击中，phpBB.com 和 phpBB 软件都没被利用。

phpBB 的工作人员发现后立即删除了恶意文件的链接。phpBB 管理团队的 Michael Cullum 表示，修改后的软件包中的恶意代码尝试从远程源加载 JavaScript 代码，目前，他们也正在控制托管 JavaScript 源码的域名，以使代码无害。

Michael Cullum 告诉我们，由于基础设施团队能够迅速做出反应，所以恶意软件包只能在 3 个小时内有效，根据他们的计算，估计受影响的下载总数不会超过 500 次，预计在生产环境中使用的数量要少得多。

所以，官网的下载链接目前是安全的。不过，建议近期在官网下载了 phpBB 3.2.2 软件包的用户将文件的 SHA256 文件哈希值与官方提供的进行校验，以保证是安全无害的。

phpBB 是一个非常受欢迎的基于 PHP 的讨论板，根据 W3Techs 的统计，目前在互联网的所有站点中，有 0.2％ 在使用。