[[390389]]

近日，PHP 團隊發(fā)現(xiàn)其 git.php.net 服務(wù)器被入侵，官方倉庫中出現(xiàn)了兩個惡意提交，并且這些提交偽造了 PHP 開發(fā)者和維護者 Rasmus Lerdorf 和 Nikita Popov 的簽名。

事情發(fā)生在預(yù)計今年年底發(fā)布的 PHP 8.1 開發(fā)分支中。這兩個提交試圖在 PHP 中留下一個遠程代碼執(zhí)行的后門：如果字符串以 “zerodium” 開頭，就會從 useragent HTTP 頭內(nèi)執(zhí)行 PHP 代碼。目前，PHP 仍然是服務(wù)器端主要的編程語言，為互聯(lián)網(wǎng)上超過 79% 的網(wǎng)站提供支持，如果該后門沒有被發(fā)現(xiàn)，后果將非常嚴重。

所幸這兩個惡意提交很快被發(fā)現(xiàn)然后還原，Nikita Popov 隨即發(fā)布聲明表示此次事故應(yīng)該不是個人賬戶泄漏，而是 git.php.net 服務(wù)器被入侵。因為在 Git 這樣的源碼版本控制系統(tǒng)中，可以在一個提交使用來自本地其他人的簽名，然后把偽造的提交上傳到遠程的 Git 服務(wù)器上，這樣一來，就會讓人覺得這個提交確實是由該簽名所有人簽署的。

此外，PHP 團隊表示維護自己的 Git 基礎(chǔ)設(shè)施是一個不必要的安全風(fēng)險，其將在接下來的幾天內(nèi)停止使用 git.php.net 服務(wù)器，而原本 GitHub 上的鏡像倉庫將成為主倉庫，以后所有修改會直接推送到 GitHub 上，而不再是 git.php.net 服務(wù)器上。因此，今后想為 PHP 做貢獻的人需要先通過雙重身份認證加入 GitHub 上的 PHP 組織。目前，PHP 團隊正在審查倉庫中是否有其他惡意代碼。

本文轉(zhuǎn)自O(shè)SCHINA

本文標(biāo)題：黑客入侵 PHP 的 Git 服務(wù)器，試圖提交后門代碼

本文地址：https://www.oschina.net/news/135226/hack-php-git