写点什么

PHP Git 服务器被入侵,黑客向源代码中添加后门

  • 2021-03-31
  • 本文字数:833 字

    阅读完需:约 3 分钟

PHP Git服务器被入侵,黑客向源代码中添加后门

3 月 28 日,PHP 团队成员 Nikita Popov 发布一条紧急新闻,称“PHP 官方 Git 服务器被入侵,代码库被篡改”。


之后,网名叫 nixCraft 的网友也在 Twitter 发文,“小心!PHP git 服务器受到攻击,并且,攻击者向 PHP 代码库中添加了后门。请大家注意其安全性!”


PHP Git 服务器被植入 RCE 后门


根据官方公告,PHP 团队在 git.php.net 服务器上维护的 php-src 仓库被推送了两个恶意提交(commits)。


为了保证提交可靠性,攻击者还伪造签名,让人以为提交是由 PHP 开发者和维护者 Nikita Popov 与 Rasmus Lerdorf 完成的。



然而,在新增的第 370 行调用 zend_eval_string 函数的地方,这段代码实际上是为运行这个被劫持的 PHP 版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。


PHP 开发者表示,“如果字符串以'zerodium'开头,这一行就会从 useragent HTTP 头内执行 PHP 代码。”


在提交几小时后,PHP 团队就在进行常规的代码审查时发现问题。这些更改的恶意很明显,所以很快被还原了。


对像 Git 这样的源码版本控制系统来说,这样的事并不让人意外。因为攻击者可以把提交的内容打上其他人的签名,然后再把伪造的提交上传到远程的 Git 服务器。这样一来,就会让人觉得这个提交确实是由签名的人提交的。


国外安全媒体 bleepingcomputer 对此评论,“作为一门服务器端编程语言,PHP 为互联网上超过 79%的网站提供支持。这一事件令人震惊。”

弃用官方 Git 服务器,PHP 代码库迁移到 GitHub


作为此次事件后的预防措施,PHP 团队已经决定将 PHP 官方源码库迁移到 GitHub。



目前,PHP 团队还在对此事进行调查。官方称,“我们还不知道这是怎么发生的,但是这次恶意活动源于被入侵的 git.php.net 服务器,而非个人的 Git 账户被入侵。


“虽然调查还在进行中,但为了减少我们自己维护的 Git 基础设施所面临的风险,我们将停用 git.php.net 服务器”。


官方团队表示,“GitHub 上的 PHP 代码库以前只是作为镜像,现在将作为正式的来使用。”


并且,从现在开始,任何代码修改都会直接推送到 GitHub 上。


现在,除了那两个恶意提交外,PHP 官方团队还在检查是否还有其他的安全威胁。

2021-03-31 10:184974
用户头像
万佳 前InfoQ编辑

发布了 677 篇内容, 共 340.7 次阅读, 收获喜欢 1796 次。

关注

评论

发布
暂无评论
发现更多内容

理解消息队列:队列与主题的区别

刘祥

消息队列对比

全球计算联盟(GCC)闪耀2024MWC上海,共绘计算产业新蓝图

最新动态

98堂色花堂邀请码联系邮箱sht98sht@163.com

Geek_d0db7b

FruitJuice for mac v2.5.4中文激活版 最佳电池优化管理工具

影影绰绰一往直前

"智能财务运营:商汤小浣熊助力腾讯云账单分析"

雪雷

腾讯云 FinOps 办公小浣熊 商汤科技

Advanced RAG 09:『提示词压缩』技术综述

Baihai IDP

AI 白海科技 LLMs 企业号 6 月 PK 榜 rag

mac电池最大充电限制工具:AlDente Pro for Mac 激活版

iMac小白

AlDente Pro mac lDente Pro下载 lDente Pro激活版 lDente Pro破解版

TikTok多账号怎么稳定的运营?

陈橘又青

Brawer uBar for Mac专为Mac用户设计的Windows风格任务栏工具

iMac小白

mac鼠标自动点击工具:RapidClick for Mac 激活版

iMac小白

Valentina Studio Pro for Mac(专业的数据库管理软件)

iMac小白

GPT-4o和GPT-4有什么区别?我们还需要开通GPT-4?

蓉蓉

GPT-4 gpt4o

DC-DC产品设计PCB注意事项

芯动大师

芯片 DC-DC 电源

钟薛高直播间女主播晕倒事件,凸显数字人主播的重要性!

青否数字人

数字人

One Switch for Mac v1.34.2中文版:高效便捷的系统功能快速开关工具

影影绰绰一往直前

One Switch下载 One Switch for Mac One Switch破解 One Switch激活版 One Switch mac

App Cleaner & Uninstaller for mac(mac应用清理和卸载软件)

影影绰绰一往直前

Mac字体编辑器 FontLab 直装激活版

iMac小白

创业风口赛道:互联网广告项目代理,腾讯广告官方推广代理 全国市场可做

Geek_bd7410

互联网项目 创业项目

Navicat for MySQL mac版下载 数据库管理开发工具

影影绰绰一往直前

camtasia studio字幕位置能移动吗 camtasia studio字幕有黑框怎么删除黑框

禁止废话

Camtasia 录屏软件 投屏软件 Camtasia Studio2024 视频剪辑软件

Axure RP 9 for Mac v9.0.0.3744中文激活版(原型设计软件)

iMac小白

Mac电脑必备硬件监测和系统维护工具:TechTool Pro for mac

影影绰绰一往直前

TechTool Pro下载 TechTool Pro破解版 TechTool Pro激活版 TechTool Pro mac

Brawer uBar for Mac v4.2.2中文版:高效的任务栏替代工具

影影绰绰一往直前

Brawer uBar下载 Brawer uBar mac Brawer uBar激活吧 Brawer uBar 破解版

mac任务管理和跟踪工 Chrono Plusv1.7.1激活版

iMac小白

人民财评:数字人直播带货懂得明辨“真”“假”,选择青否数字人手机版app落地方案!

青否数字人

Mac菜单栏浏览软件 menubarx激活安装包

影影绰绰一往直前

Navicat for SQL Server for mac(数据库管理工具)

iMac小白

Kafka Consumer 位移提交深度解析

刘祥

kafka

MenubarX for Mac 1.7.0中文版:菜单栏浏览器

影影绰绰一往直前

MenubarX下载 MenubarX激活版 MenubarX破解版 MenubarX mac

ScreenFocus for mac v1.1.1(26)激活版(mac多屏工作专注效率工具)

影影绰绰一往直前

ScreenFocus下载 ScreenFocus mac ScreenFocus 激活版

当海思遇见鸿蒙,一曲万物智联的高山流水

脑极体

鸿蒙

PHP Git服务器被入侵,黑客向源代码中添加后门_安全_万佳_InfoQ精选文章