有开发者反馈，其在部署应用时，腾讯云告警存在“木马文件”CertificateDownloader.php

Question

TheNorthMemory opened this issue 2 years ago · comments

开发者的环境是Windows，使用的composer v2.0.11；目标服务器环境是Linux；部署采用手动上传本地开发文件zip包格式（服务端解压缩），当上传完毕在服务端解压缩部署时，收到「腾讯云」短信告警，其提示存在“木马文件”CertificateDownloader.php

Xiaoyu PENG · Answer 1 · Tue Apr 19 2022 16:53:37 GMT+0800 (China Standard Time)

根据 @TheNorthMemory 分析，是之前版本 composer 在 Windows 环境下生成可执行文件时使用了 eval()，被检出风险。

建议使用高版本（>= 2.1.10 ) 的 composer。