PHP的Git服務(wù)器被黑客攻擊 源碼庫被添加后門(mén)

在最新的軟件供應鏈攻擊中，PHP官方Git倉庫被黑客攻擊，代碼庫被篡改。昨天，PHP 團隊在 git.php.net 服務(wù)器上維護的 php-src Git 倉庫中被推送了兩個(gè)惡意提交。攻擊者在上游提交了一個(gè)神秘的改動(dòng)，稱(chēng)其正在”修復排版”，假裝這是一個(gè)小的排版更正，并且偽造簽名，讓人以為這些提交是由已知的PHP開(kāi)發(fā)者和維護者Rasmus Lerdorf和Nikita Popov完成的。

實(shí)際上，攻擊者的惡意提交是植入了遠程代碼執行后門(mén)?？紤]到PHP仍然是服務(wù)器端編程語(yǔ)言，為互聯(lián)網(wǎng)上超過(guò)79%的網(wǎng)站提供支持，這一事件令人震驚。新增的第370行調用zend_eval_string函數的地方，這段代碼實(shí)際上是為運行這個(gè)被劫持的PHP版本的網(wǎng)站埋下了一個(gè)后門(mén)，以獲取輕松的遠程代碼執行（RCE）。

“如果字符串以’zerodium’開(kāi)頭，這一行就會(huì )從useragent HTTP頭內執行PHP代碼?！盤(pán)HP開(kāi)發(fā)者Jake Birchall向最先指出這一異常的Michael Vo?í?ek回應道。

在電子郵件采訪(fǎng)中，PHP維護者Nikita Popov告訴我們。

“第一次提交是在幾個(gè)小時(shí)后被發(fā)現的，作為常規提交后代碼審查的一部分。Popov表示，”這些改動(dòng)是相當明顯的惡意的，并且馬上就被還原了”。

這并不奇怪，因為像Git這樣的源碼版本控制系統，可以將一個(gè)提交的內容簽名為來(lái)自本地的其他人，然后將偽造的提交上傳到遠程的Git服務(wù)器上，這樣就會(huì )給人一種印象，好像它確實(shí)是由被已知的開(kāi)發(fā)者簽名的。

雖然對事件的完整調查還在進(jìn)行中，但根據PHP維護者的說(shuō)法，這次惡意活動(dòng)源于被入侵的git.php.net服務(wù)器，而不是個(gè)人的Git賬戶(hù)被入侵。作為此次事件后的預防措施，PHP維護人員決定將PHP官方源碼庫遷移至GitHub。

“雖然調查仍在進(jìn)行中，但我們決定維護自己的git基礎設施是一個(gè)不必要的安全風(fēng)險，我們將停止使用git.php.net服務(wù)器?！?/p>

“取而代之的是，GitHub上的倉庫，以前只是鏡像，現在將成為規范的來(lái)源?！盤(pán)opov宣布。隨著(zhù)這一改變的進(jìn)行，從現在開(kāi)始，任何代碼修改都要直接推送到GitHub上，而不是git.php.net服務(wù)器上。

那些有興趣為PHP項目做出貢獻的人現在需要在GitHub上被添加為PHP組織的一部分。相關(guān)說(shuō)明在同一個(gè)安全公告中提供。

要成為該組織的成員，你需要在你的GitHub賬戶(hù)上啟用雙因素認證（2FA）?！蔽覀冋趯彶閭}庫中除了兩個(gè)引用的提交之外的任何損壞，在此期間，它可能被克隆/分叉，但這些更改并沒(méi)有進(jìn)入任何標簽或發(fā)布工件中?！?/p>

“這些改動(dòng)是在PHP8.1的開(kāi)發(fā)分支上，該分支將在年底發(fā)布?！盤(pán)HP團隊已經(jīng)證實(shí)，他們計劃在接下來(lái)的日子里最終退役他們的git服務(wù)器，并永久轉移到GitHub。

發(fā)布者：水橋丶帕露西