云网牛站
所在位置:首页 > Linux安全 > git.php.net服务器被入侵,小心字符串以zerodium开头的代码

git.php.net服务器被入侵,小心字符串以zerodium开头的代码

2021-03-30 09:13:50作者:御坂弟弟稿源:OSCHINA开源站

PHP 官方的 Git 服务器已被黑客攻击,并且 git.php.net 服务器已被入侵,在其服务器上维护的 php-src Git 仓库中被推送了两个恶意提交。如果字符串以 “zerodium” 开头,这一行就会从 useragent HTTP 头内执行 PHP 代码。以下是新闻详情。

 

新闻内容

当前,PHP 团队发现其 git.php.net 服务器被入侵,官方仓库中出现了两个恶意提交,并且这些提交伪造了 PHP 开发者和维护者 Rasmus Lerdorf 和 Nikita Popov 的签名。

git.php.net服务器被入侵,小心字符串以zerodium开头的代码

事情发生在预计 2021 年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 “zerodium” 开头,就会从 useragent HTTP 头内执行 PHP 代码。目前,PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重。

所幸这两个恶意提交很快被发现然后还原,Nikita Popov 随即发布声明表示此次事故应该不是个人账户泄漏,而是 git.php.net 服务器被入侵。因为在 Git 这样的源码版本控制系统中,可以在一个提交使用来自本地其他人的签名,然后把伪造的提交上传到远程的 Git 服务器上,这样一来,就会让人觉得这个提交确实是由该签名所有人签署的。

此外,PHP 团队表示维护自己的 Git 基础设施是一个不必要的安全风险,其将在接下来的几天内停止使用 git.php.net 服务器,而原本 GitHub 上的镜像仓库将成为主仓库,以后所有修改会直接推送到 GitHub 上,而不再是 git.php.net 服务器上。因此,今后想为 PHP 做贡献的人需要先通过双重身份认证加入 GitHub 上的 PHP 组织。目前,PHP 团队正在审查仓库中是否有其他恶意代码。

git.php.net服务器被入侵,小心字符串以zerodium开头的代码

如无法访问 GitHub 页面,请参考:在Linux和Windows系统下无法打开GitHub网页/网站的解决方法

 

重点强调

将停止使用 git.php.net 服务器,开放时间以官方宣布为主。取而代之的是,GitHub 上的仓库,以前只是镜像,现在将成为规范的来源。从现在开始,任何代码修改都要直接推送到 GitHub 上,而不是 git.php.net 服务器上。

那些有兴趣为 PHP 项目做出贡献的人现在需要在 GitHub 上被添加为PHP组织的一部分。相关说明在同一个安全公告中提供。要成为该组织的成员,你需要在你的 GitHub 账户上启用双因素认证(2FA)。我们正在审查仓库中除了两个引用的提交之外的任何损坏,在此期间,它可能被克隆/分叉,但这些更改并没有进入任何标签或发布工件中。这些改动是在 PHP 8.1 的开发分支上,该分支将在 2021 年底发布。PHP 团队已经证实,他们计划在接下来的日子里最终退役他们的 git 服务器,并永久转移到 GitHub。

 

相关主题

在Ubuntu 18.04系统中安装和使用GitHub

精选文章
热门文章