黑客入侵 PHP 的 Git 服务器,试图提交后门代码

来源: 投稿
作者: 御坂弟弟
2021-03-30

近日,PHP 团队发现其 git.php.net 服务器被入侵,官方仓库中出现了两个恶意提交,并且这些提交伪造了 PHP 开发者和维护者 Rasmus Lerdorf 和 Nikita Popov 的签名。

事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 “zerodium” 开头,就会从 useragent HTTP 头内执行 PHP 代码。目前,PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重。

所幸这两个恶意提交很快被发现然后还原,Nikita Popov 随即发布声明表示此次事故应该不是个人账户泄漏,而是 git.php.net 服务器被入侵。因为在 Git 这样的源码版本控制系统中,可以在一个提交使用来自本地其他人的签名,然后把伪造的提交上传到远程的 Git 服务器上,这样一来,就会让人觉得这个提交确实是由该签名所有人签署的。

此外,PHP 团队表示维护自己的 Git 基础设施是一个不必要的安全风险,其将在接下来的几天内停止使用 git.php.net 服务器,而原本 GitHub 上的镜像仓库将成为主仓库,以后所有修改会直接推送到 GitHub 上,而不再是 git.php.net 服务器上。因此,今后想为 PHP 做贡献的人需要先通过双重身份认证加入 GitHub 上的 PHP 组织。目前,PHP 团队正在审查仓库中是否有其他恶意代码。

展开阅读全文
5 收藏
分享
加载中
精彩评论
好家伙,zerodium,号称网络军火商,专门倒卖0day漏洞的。这次直接出手入侵php,如果成功,就可以卖漏洞了,就像npm,pip上有很多恶意包一样,利用包名的相似性来做到入侵
2021-03-30 08:10
11
举报
呼 ~ 好险,差点世界上最好的语言药丸啦
2021-03-30 09:47
9
举报
gitee一遇到ZF开会,就会戒严,仓库代码通过raw远程读取,就会直接提示“法律政策原因XXX”,差点把客户坑死...
2021-03-31 09:12
4
举报
黑客曾向n个组织售卖这个漏洞, 没人买. 于是黑客直接自爆,用漏洞在源码里加了这行日志:
"REMOVETHIS: sold to zerodium, mid 2017,"

zerodium表示没买这个漏洞,注释和自己无关.并庆祝黑客把他们的名字写进了php代码里.
2021-03-30 19:00
4
举报
啥叫黑客,就是这么牛叉啊。。。。。
2021-03-30 15:49
1
举报
最新评论 (29)
黑客太厉害了
2021-04-07 18:32
0
回复
举报
感觉这个根本不用黑/ 客技术, 就是直接登录Git提交的。所谓伪造签名其实就是把自己的用户名改成那个名字,Git本来就可以随便改。
2021-04-03 12:10
0
回复
举报
不去找出问题所在,就先表态要废弃自建的Git服务,全面转向GitHub,Nikita的这波操作,我有点看不懂,更像是转向GitHub是他想达到的目的,而不是找出哪里出了问题.
2021-04-02 12:13
0
回复
举报
gitee一遇到ZF开会,就会戒严,仓库代码通过raw远程读取,就会直接提示“法律政策原因XXX”,差点把客户坑死...
2021-03-31 09:12
4
回复
举报
国内所有金融,互联网等行业,两会期间都会有安全防护措施的,常规操作
2021-03-31 09:22
0
回复
举报
如果返回的 http status 是 3xx 4xx 应该还好
2021-04-01 16:57
0
回复
举报
也算社火工程学吗
2021-03-30 20:20
0
回复
举报
黑客曾向n个组织售卖这个漏洞, 没人买. 于是黑客直接自爆,用漏洞在源码里加了这行日志:
"REMOVETHIS: sold to zerodium, mid 2017,"

zerodium表示没买这个漏洞,注释和自己无关.并庆祝黑客把他们的名字写进了php代码里.
2021-03-30 19:00
4
回复
举报
哈哈
2021-03-30 16:03
0
回复
举报
啥叫黑客,就是这么牛叉啊。。。。。
2021-03-30 15:49
1
回复
举报
这才叫黑客
2021-03-30 13:52
1
回复
举报
这帮人为了赚钱真的是不择手段。
2021-03-30 12:35
0
回复
举报
更多评论
29 评论
5 收藏
分享
返回顶部
顶部