写点什么

PHP Git 服务器被入侵,黑客向源代码中添加后门

2021 年 3 月 31 日

PHP Git服务器被入侵,黑客向源代码中添加后门

3 月 28 日,PHP 团队成员 Nikita Popov 发布一条紧急新闻,称“PHP 官方 Git 服务器被入侵,代码库被篡改”。


之后,网名叫 nixCraft 的网友也在 Twitter 发文,“小心!PHP git 服务器受到攻击,并且,攻击者向 PHP 代码库中添加了后门。请大家注意其安全性!”


PHP Git 服务器被植入 RCE 后门


根据官方公告,PHP 团队在 git.php.net 服务器上维护的 php-src 仓库被推送了两个恶意提交(commits)。


为了保证提交可靠性,攻击者还伪造签名,让人以为提交是由 PHP 开发者和维护者 Nikita Popov 与 Rasmus Lerdorf 完成的。



然而,在新增的第 370 行调用 zend_eval_string 函数的地方,这段代码实际上是为运行这个被劫持的 PHP 版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。


PHP 开发者表示,“如果字符串以'zerodium'开头,这一行就会从 useragent HTTP 头内执行 PHP 代码。”


在提交几小时后,PHP 团队就在进行常规的代码审查时发现问题。这些更改的恶意很明显,所以很快被还原了。


对像 Git 这样的源码版本控制系统来说,这样的事并不让人意外。因为攻击者可以把提交的内容打上其他人的签名,然后再把伪造的提交上传到远程的 Git 服务器。这样一来,就会让人觉得这个提交确实是由签名的人提交的。


国外安全媒体 bleepingcomputer 对此评论,“作为一门服务器端编程语言,PHP 为互联网上超过 79%的网站提供支持。这一事件令人震惊。”

弃用官方 Git 服务器,PHP 代码库迁移到 GitHub


作为此次事件后的预防措施,PHP 团队已经决定将 PHP 官方源码库迁移到 GitHub。



目前,PHP 团队还在对此事进行调查。官方称,“我们还不知道这是怎么发生的,但是这次恶意活动源于被入侵的 git.php.net 服务器,而非个人的 Git 账户被入侵。


“虽然调查还在进行中,但为了减少我们自己维护的 Git 基础设施所面临的风险,我们将停用 git.php.net 服务器”。


官方团队表示,“GitHub 上的 PHP 代码库以前只是作为镜像,现在将作为正式的来使用。”


并且,从现在开始,任何代码修改都会直接推送到 GitHub 上。


现在,除了那两个恶意提交外,PHP 官方团队还在检查是否还有其他的安全威胁。

2021 年 3 月 31 日 10:181237
用户头像
万佳 InfoQ编辑

发布了 546 篇内容, 共 200.4 次阅读, 收获喜欢 1355 次。

关注

评论

发布
暂无评论
发现更多内容

MySQL 8.0.23中复制架构从节点自动故障转移

程序员小毕

Java MySQL 架构 高可用 MySQL优化

【CSS】不规则阴影

学习委员

css3 html/css CSS小技巧 28天写作 纯CSS

【Mysql-InnoDB 系列】幻读、死锁与事务调度

程序员架构进阶

MySQL 架构 innodb 事务 28天写作

阿里Java性能优化最佳实践指南全新发布!(编程、多线程、JVM、设计模式、数据库优化全都有)

程序员小毕

Java 面试 性能优化 JVM 数据库调优

程序员必知的几种限流方案

Java架构师迁哥

[高并发]高并发分布式锁架构大解密,不是所有的锁都是分布式锁!!

for

安卓驱动开发!系统盘点Android开发者必须掌握的知识点,搞懂这些直接来阿里入职

欢喜学安卓

android 程序员 面试 移动开发

Flink + Iceberg 全场景实时数仓的建设实践

Apache Flink

flink

十年运维经验总结出的智能运维系统落地方案

小术晓术

人工智能 运维 企业信息化 运维自动化 信息化

首发10万字Mysql实战文档,几乎涵盖你需要的所有操作|超清PDF

Crud的程序员

MySQL 数据库

Elasticsearch 批量查询 mget

escray

elastic 七日更 28天写作 死磕Elasticsearch 60天通过Elastic认证考试

【CSS】波纹效果

学习委员

CSS小技巧 28天写作 纯CSS

「产品经理训练营」第三章作业

Sòrγy_じò ぴé

产品经理训练营 极客大学产品经理训练营 产品训练营

深扒!用6部分讲完Java性能调优:多线程+设计模式+数据库

996小迁

数据库 JVM 设计模式 多线程 性能调优

即构SDK新增焦点语音功能,可实现特定用户语音的聚焦

ZEGO即构

【Android Tips】小厂的扫码还能怎么做?

李小四

机器学习 二维码 扫码 微信扫码

android开发面试准备!Android高级工程师进阶学习,已开源

欢喜学安卓

android 程序员 面试 移动开发

IntelliJ IDEA 20周岁啦,为期2天的周年庆活动对开发者免费开放

YourBatman

eclipse ide IDEA IntelliJ IDEA

就业篇 - 如何抉择自己合适的路(二)

小诚信驿站

深度思考 程序员人生 就业 成长笔记 28天写作

Vue 3自定义指令开发

Geek_Willie

高阶段位机房管理:3D集装箱数据中心,触发科技“火苗”的燃烧

一只数据鲸鱼

数据可视化 3D可视化 机房管理 数据中心可视化 集装箱式数据中心

灵雀云Kube-OVN进入CNCF沙箱,成为CNCF首个容器网络项目

York

灵雀云 Kubernetes Kube-OVN

SpringSecurity基础——权限管理

程序员小毕

Java 源码 程序员 安全 springsecurity

百度信息流和搜索业务中的弹性近线计算探索与应用 | 文末送福利

百度Geek说

Java 前端工程 算法工程师 技术宅

Android JNI模板与读取系统属性笔记

Changing Lin

android

try-catch-finally中的4个大坑,不小心就栽进去了!

王磊

Java 异常处理 try finally

为什么这么一道iOS小题目,这么多面试者搞不定?

Geek_24a3d9

面试题 技术交流 面试官 ios开发

阿里巴巴正式推出2021年金三银四1000道Java工程师面试题手册(含答案)

Java架构追梦

Java 阿里巴巴 架构师 金三银四 1000道面试题

不明白线程池?那看看这篇,附10道面试题

田维常

线程池

Maintainer 聚光灯:KubeEdge 和 Volcano 的王泽锋

华为云原生团队

开源 边缘计算 开源项目 华为云 批量计算

个人信息严控的时代,AI如何实现“安全”的智能营销?

星环科技

大数据

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

2021年全国大学生计算机系统能力大赛操作系统设计赛 技术报告会

PHP Git服务器被入侵,黑客向源代码中添加后门-InfoQ