PHP官方Git服务器被黑,源码中被加入后门

安全
3月28日,PHP遭遇软件供应链攻击。2个恶意commit被推送到了位于git.php.net服务器的由PHP 团队维护的php-src Git 仓库。

PHP目前最流行的服务器端编程语言,互联网上超过79%的网站都使用PHP语言。3月28日,PHP遭遇软件供应链攻击。2个恶意commit被推送到了位于git.php.net服务器的由PHP 团队维护的php-src Git 仓库。

[[390455]]

这2个恶意commit是经过签名的,通过签名可以发现是由于PHP 开发和维护人员Rasmus Lerdorf和Nikita Popov操作的。

PHP Git 服务器被植入RCE后门

PHP Git服务器被黑的commit

从图中可以看出,在第370行,调用了zend_eval_string函数,实际上这段代码注入了后门来在运行被劫持的PHP版本的网站上实现远程代码执行。

PHP开发人员Jake Birchall最早发现异常,称如果字符串是以zerodium开头的,那么这行代码会在useragent HTTP header执行PHP代码。

该恶意commit是以PHP开发人员Rasmus Lerdorf的名义提交的。

Php安全公告

PHP给出的安全公告称,目前被黑的具体细节仍在调查中。但是指向了git.php.net服务器被黑,而不是个人的git账号。

PHP 官方代码库迁移到GitHub

由于本次事件,PHP维护人员决定将官方PHP 代码库迁移到GitHub平台。之后,所有的代码修改都会直接推送到GitHub上。

PHP团队向BleepingComputer确认,其计划最终停用Git服务器,并永久和完全地迁移到GitHub。

  • 恶意commit 1:https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a&diff=unified#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R368-R370
  • 恶意commit 2:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R370

本文翻译自:

https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

 

责任编辑:赵宁宁 来源: 嘶吼网
相关推荐

2021-03-30 08:43:29

黑客PHP团队Git

2009-08-22 14:17:28

2024-11-14 13:16:58

2013-11-08 17:10:10

2009-04-26 22:27:54

触发器密码修改数据库

2020-01-18 18:41:13

GitGit服务器开源

2022-07-29 12:06:26

恶意软件网络攻击

2009-12-15 17:50:28

2021-05-26 11:30:34

戴尔

2012-09-28 11:14:20

2011-03-22 13:50:53

2009-10-09 10:46:17

2009-11-14 09:42:01

2009-10-30 09:30:33

2013-11-12 10:52:24

2009-10-28 11:09:59

2021-07-09 14:29:59

FuchsiaDiscord服务器

2013-05-14 09:09:48

2020-03-20 10:00:12

服务器网络攻击黑客

2011-07-05 10:48:54

点赞
收藏

51CTO技术栈公众号