PHP目前最流行的服務(wù)器端編程語(yǔ)言，互聯(lián)網(wǎng)上超過(guò)79%的網(wǎng)站都使用PHP語(yǔ)言。3月28日，PHP遭遇軟件供應(yīng)鏈攻擊。2個(gè)惡意commit被推送到了位于git.php.net服務(wù)器的由PHP 團(tuán)隊(duì)維護(hù)的php-src Git 倉(cāng)庫(kù)。

這2個(gè)惡意commit是經(jīng)過(guò)簽名的，通過(guò)簽名可以發(fā)現(xiàn)是由于PHP 開(kāi)發(fā)和維護(hù)人員Rasmus Lerdorf和Nikita Popov操作的。

PHP Git 服務(wù)器被植入RCE后門

PHP Git服務(wù)器被黑的commit

從圖中可以看出，在第370行，調(diào)用了zend_eval_string函數(shù)，實(shí)際上這段代碼注入了后門來(lái)在運(yùn)行被劫持的PHP版本的網(wǎng)站上實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

PHP開(kāi)發(fā)人員Jake Birchall最早發(fā)現(xiàn)異常，稱如果字符串是以zerodium開(kāi)頭的，那么這行代碼會(huì)在useragent HTTP header執(zhí)行PHP代碼。

該惡意commit是以PHP開(kāi)發(fā)人員Rasmus Lerdorf的名義提交的。

Php安全公告

PHP給出的安全公告稱，目前被黑的具體細(xì)節(jié)仍在調(diào)查中。但是指向了git.php.net服務(wù)器被黑，而不是個(gè)人的git賬號(hào)。

PHP 官方代碼庫(kù)遷移到GitHub

由于本次事件，PHP維護(hù)人員決定將官方PHP 代碼庫(kù)遷移到GitHub平臺(tái)。之后，所有的代碼修改都會(huì)直接推送到GitHub上。

PHP團(tuán)隊(duì)向BleepingComputer確認(rèn)，其計(jì)劃最終停用Git服務(wù)器，并永久和完全地遷移到GitHub。

• 惡意commit 1：https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a&diff=unified#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R368-R370
• 惡意commit 2：https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R370

本文翻譯自：https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

原文地址：https://www.4hou.com/posts/o8Jk