Linux 之父出席、干货分享、圆桌讨论,精彩尽在 OpenCloudOS 社区开放日,报名戳 了解详情
写点什么

PHP Git 服务器被入侵,黑客向源代码中添加后门

  • 2021 年 3 月 31 日
  • 本文字数:833 字

    阅读完需:约 3 分钟

PHP Git服务器被入侵,黑客向源代码中添加后门

3 月 28 日,PHP 团队成员 Nikita Popov 发布一条紧急新闻,称“PHP 官方 Git 服务器被入侵,代码库被篡改”。


之后,网名叫 nixCraft 的网友也在 Twitter 发文,“小心!PHP git 服务器受到攻击,并且,攻击者向 PHP 代码库中添加了后门。请大家注意其安全性!”


PHP Git 服务器被植入 RCE 后门


根据官方公告,PHP 团队在 git.php.net 服务器上维护的 php-src 仓库被推送了两个恶意提交(commits)。


为了保证提交可靠性,攻击者还伪造签名,让人以为提交是由 PHP 开发者和维护者 Nikita Popov 与 Rasmus Lerdorf 完成的。



然而,在新增的第 370 行调用 zend_eval_string 函数的地方,这段代码实际上是为运行这个被劫持的 PHP 版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。


PHP 开发者表示,“如果字符串以'zerodium'开头,这一行就会从 useragent HTTP 头内执行 PHP 代码。”


在提交几小时后,PHP 团队就在进行常规的代码审查时发现问题。这些更改的恶意很明显,所以很快被还原了。


对像 Git 这样的源码版本控制系统来说,这样的事并不让人意外。因为攻击者可以把提交的内容打上其他人的签名,然后再把伪造的提交上传到远程的 Git 服务器。这样一来,就会让人觉得这个提交确实是由签名的人提交的。


国外安全媒体 bleepingcomputer 对此评论,“作为一门服务器端编程语言,PHP 为互联网上超过 79%的网站提供支持。这一事件令人震惊。”

弃用官方 Git 服务器,PHP 代码库迁移到 GitHub


作为此次事件后的预防措施,PHP 团队已经决定将 PHP 官方源码库迁移到 GitHub。



目前,PHP 团队还在对此事进行调查。官方称,“我们还不知道这是怎么发生的,但是这次恶意活动源于被入侵的 git.php.net 服务器,而非个人的 Git 账户被入侵。


“虽然调查还在进行中,但为了减少我们自己维护的 Git 基础设施所面临的风险,我们将停用 git.php.net 服务器”。


官方团队表示,“GitHub 上的 PHP 代码库以前只是作为镜像,现在将作为正式的来使用。”


并且,从现在开始,任何代码修改都会直接推送到 GitHub 上。


现在,除了那两个恶意提交外,PHP 官方团队还在检查是否还有其他的安全威胁。

2021 年 3 月 31 日 10:181810
用户头像
万佳 InfoQ编辑

发布了 655 篇内容, 共 268.6 次阅读, 收获喜欢 1725 次。

关注

评论

发布
暂无评论
发现更多内容

上帝视角掌管城市动向!智慧园区驱动城市数字化转型

一只数据鲸鱼

物联网 数据可视化 智慧城市 智慧园区

万众瞩目的EGG Network,备受期待的New-DeFi自治共识论坛在海口闭幕

币圈那点事

区块链

一文搞懂 FlinkSQL函数 LAST_VALUE 的原理

shengjk1

flink flink sql flink 源码

一文搞懂 FlinkSQL 的 KafkaSource

shengjk1

flink flink源码 flink sql

AIOT技术大起底:别人开发“软件”,海尔智家开发“生活”

DT极客

FlinkSQL 平台

shengjk1

flink flink sql flink sql 平台

Flink 计算 TopN

shengjk1

flink flink 实战 flink topN

图解TCP的通信机制

零一

TCP 网络

【IstioCon 2021】如何在Istio中进行源地址保持?

华为云原生团队

开源 云原生 istio 华为云 服务网格

Flink 提交作业运行的各种模式总结

shengjk1

flink flink 执行

硬件工程师必备,常用元器件封装速查表

不脱发的程序猿

28天写作 电路设计 3月日更 元器件封装速查表 电子设计

【LeetCode】扁平化嵌套列表迭代器Java题解

HQ数字卡

算法 LeetCode 3月日更

Swift 5创建和使用Framework, XCFramework 从入门到精通 John 易筋 ARTS 打卡 Week 42

John(易筋)

ARTS 打卡计划 Framework XCFramework

人工智能能和人类辩论了;《云网产业发展白皮书》发布

京东科技开发者

人工智能

一文搞懂Flink SQL执行过程

shengjk1

flink flink源码 flink sql flink sql 执行过程

Flink 计算 PV UV

shengjk1

flink flink 实战

到底什么是Event Loop?那就来了解一下JavaScript分别在浏览器和Node环境下的运行机制吧

零一

JavaScript 大前端

已拿到蚂蚁金服Offer!阿里内部二十三万字Java面试题总结

Java架构追梦

Java 阿里巴巴 架构 面试 金三银四

Python OpenCV 图像处理二值化,取经之旅第 7 天

梦想橡皮擦

3月日更

JVM G1GC的算法与实现

Yano

Java JVM GC G1GC

快速使用Vue3最新的15个常用API(1W5+字详解,建议收藏)

零一

vue.js 大前端 Vue3

4层板到12层板叠层经典设计方案

不脱发的程序猿

28天写作 电路设计 3月日更 PCB PCB布局

阿里一战封神,百万人跪求的Java面试手册终于开源;

Java架构师迁哥

如何在3分钟内实现音频变声和趣味音效?

拍乐云Pano

音视频 RTC 出海社交 社交泛娱乐

企业数字化转型,营销技术驱动超级增长!

博文视点Broadview

Java学习笔记——实体类(ENTITY,VO,DTO,BO)

棉花糖

Java

java deep vs shallow copies

shengjk1

Java deep copy shallow cop

一文搞懂 Flink 中的锁

shengjk1

flink flink 锁

Python-计算机视觉-OpenCV-调色板

Aldeo

Python OpenCV

寻找被遗忘的勇气(二十三)

Changing Lin

3月日更

Dubbo的设计理念原来就藏在这三张图中

中间件兴趣圈

dubbo RPC

GPU容器虚拟化:用户态和内核态的技术和实践详解

GPU容器虚拟化:用户态和内核态的技术和实践详解

PHP Git服务器被入侵,黑客向源代码中添加后门_安全_万佳_InfoQ精选文章