写点什么

PHP Git 服务器被入侵,黑客向源代码中添加后门

2021 年 3 月 31 日

PHP Git服务器被入侵,黑客向源代码中添加后门

3 月 28 日,PHP 团队成员 Nikita Popov 发布一条紧急新闻,称“PHP 官方 Git 服务器被入侵,代码库被篡改”。


之后,网名叫 nixCraft 的网友也在 Twitter 发文,“小心!PHP git 服务器受到攻击,并且,攻击者向 PHP 代码库中添加了后门。请大家注意其安全性!”


PHP Git 服务器被植入 RCE 后门


根据官方公告,PHP 团队在 git.php.net 服务器上维护的 php-src 仓库被推送了两个恶意提交(commits)。


为了保证提交可靠性,攻击者还伪造签名,让人以为提交是由 PHP 开发者和维护者 Nikita Popov 与 Rasmus Lerdorf 完成的。



然而,在新增的第 370 行调用 zend_eval_string 函数的地方,这段代码实际上是为运行这个被劫持的 PHP 版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。


PHP 开发者表示,“如果字符串以'zerodium'开头,这一行就会从 useragent HTTP 头内执行 PHP 代码。”


在提交几小时后,PHP 团队就在进行常规的代码审查时发现问题。这些更改的恶意很明显,所以很快被还原了。


对像 Git 这样的源码版本控制系统来说,这样的事并不让人意外。因为攻击者可以把提交的内容打上其他人的签名,然后再把伪造的提交上传到远程的 Git 服务器。这样一来,就会让人觉得这个提交确实是由签名的人提交的。


国外安全媒体 bleepingcomputer 对此评论,“作为一门服务器端编程语言,PHP 为互联网上超过 79%的网站提供支持。这一事件令人震惊。”

弃用官方 Git 服务器,PHP 代码库迁移到 GitHub


作为此次事件后的预防措施,PHP 团队已经决定将 PHP 官方源码库迁移到 GitHub。



目前,PHP 团队还在对此事进行调查。官方称,“我们还不知道这是怎么发生的,但是这次恶意活动源于被入侵的 git.php.net 服务器,而非个人的 Git 账户被入侵。


“虽然调查还在进行中,但为了减少我们自己维护的 Git 基础设施所面临的风险,我们将停用 git.php.net 服务器”。


官方团队表示,“GitHub 上的 PHP 代码库以前只是作为镜像,现在将作为正式的来使用。”


并且,从现在开始,任何代码修改都会直接推送到 GitHub 上。


现在,除了那两个恶意提交外,PHP 官方团队还在检查是否还有其他的安全威胁。

2021 年 3 月 31 日 10:181054
用户头像
万佳 InfoQ编辑

发布了 531 篇内容, 共 192.2 次阅读, 收获喜欢 1277 次。

关注

评论

发布
暂无评论
发现更多内容

【新春特辑】发压岁钱、看贺岁片、AI写春联……华为云社区给大家拜年了

华为云开发者社区

华为云

Vue开发中可以使用的ES6新特征

devpoint

Vue ES6

京东科技集团21篇论文高票入选国际顶会AAAI 2021

京东科技开发者

机器学习 AI

极客时间APP购买课程模块用例文档

夏天的风

用例图

产品0期 - 第四周作业

曾烧麦

产品训练营

流媒体传输协议之 RTP (上篇)

阿里云视频云

音视频 音视频会议 流媒体 rtp

《零基础看得懂的Python入门教程 》——(四)了解魔法百宝箱列表、字典及基本数据类型

1_bit

Python

当自动驾驶遇到5G,会擦出怎样的火花?这篇文章说明白了

华为云开发者社区

人工智能 自动驾驶 5G 通用AI

红信圈系统开发,红信圈APP开发

luluhulian

LeetCode题解:153. 寻找旋转排序数组中的最小值,二分查找,JavaScript,详细注释

Lee Chen

算法 LeetCode 前端进阶训练营

交易所搭建

v16629866266

交易所开发

一个只会写Bug的Coder年终总结

z小赵

程序员 互联网 职场成长

产品0期 - 第四周作业 - 附件1

曾烧麦

产品训练营

有了这个算法,图像上文字擦除再也用不上PS了

华为云开发者社区

深度学习 算法 GAN 文字擦除 图像

别困惑,不是你的错!90%的开发者把Clubhouse看成了Clickhouse

京东科技开发者

Clickhouse 社交 clubhouse

第四次作业

Geek_79e938

惊呆,一条sql竟然让oracle奔溃了

程序员jinjunzhu

oracle mybatis 批量操作

说说Golang goroutine并发那些事儿

华为云开发者社区

golang 线程 进程 并发 goroutines

Elasticsearch Mapping

escray

elastic 七日更 死磕Elasticsearch 60天通过Elastic认证考试 2月春节不断更

医疗场景用户需要什么

卢嘉敏

需求 医疗 用户

2021年人工智能数据采集标注行业四大趋势预测;清华提出深度对齐聚类用于新意图发现

京东科技开发者

人工智能 数字货币

4. 列表一学完,Python 会一半,滚雪球学 Python

梦想橡皮擦

python 爬虫 Python Monad 2月春节不断更

架构的变迁,从分层架构先聊起

华为云开发者社区

架构 软件 分层架构 架构师 系统

互联网医疗场景用户及场景

卢嘉敏

需求 医疗 用户

JVM调优艺术:JVM内存管理机制深度剖析

程序员小毕

Java 程序员 面试 性能优化 JVM

2021金三银四必问储备知识:Java线程池详解

Java王路飞

Java 程序员 面试 多线程 线程池

Web页面制作基础

魔王哪吒

学习 程序员 面试 前端 二月春节不断更

WEEK4作业

Geek_6a8931

话题讨论 | 你选择去一线城市还是老家的省会城市?

石云升

话题讨论 职业发展 2月春节不断更

【STM32】GPIO输入—按键检测

AXYZdong

硬件 stm32 2月春节不断更

我的2020年学习总结

兆熊

学习 总结

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

PHP Git服务器被入侵,黑客向源代码中添加后门-InfoQ