PHP目前最流行的服務(wù)器端編程語言，互聯(lián)網(wǎng)上超過79%的網(wǎng)站都使用PHP語言。3月28日，PHP遭遇軟件供應(yīng)鏈攻擊。2個惡意commit被推送到了位于git.php.net服務(wù)器的由PHP 團(tuán)隊維護(hù)的php-src Git 倉庫。

[[390455]]

這2個惡意commit是經(jīng)過簽名的，通過簽名可以發(fā)現(xiàn)是由于PHP 開發(fā)和維護(hù)人員Rasmus Lerdorf和Nikita Popov操作的。

PHP Git 服務(wù)器被植入RCE后門

PHP Git服務(wù)器被黑的commit

從圖中可以看出，在第370行，調(diào)用了zend_eval_string函數(shù)，實際上這段代碼注入了后門來在運行被劫持的PHP版本的網(wǎng)站上實現(xiàn)遠(yuǎn)程代碼執(zhí)行。

PHP開發(fā)人員Jake Birchall最早發(fā)現(xiàn)異常，稱如果字符串是以zerodium開頭的，那么這行代碼會在useragent HTTP header執(zhí)行PHP代碼。

該惡意commit是以PHP開發(fā)人員Rasmus Lerdorf的名義提交的。

Php安全公告

PHP給出的安全公告稱，目前被黑的具體細(xì)節(jié)仍在調(diào)查中。但是指向了git.php.net服務(wù)器被黑，而不是個人的git賬號。

PHP 官方代碼庫遷移到GitHub

由于本次事件，PHP維護(hù)人員決定將官方PHP 代碼庫遷移到GitHub平臺。之后，所有的代碼修改都會直接推送到GitHub上。

PHP團(tuán)隊向BleepingComputer確認(rèn)，其計劃最終停用Git服務(wù)器，并永久和完全地遷移到GitHub。

• 惡意commit 1：https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a&diff=unified#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R368-R370
• 惡意commit 2：https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R370

本文翻譯自：

https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/