黑客入侵PHP Git服务器并在源代码中插入后门

黑客破坏了PHP编程语言的主要Git存储库,在源代码中添加了后门,从而使攻击者可以访问全球数百万台服务器。

但是,尽管听起来很糟糕,但黑客还为PHP开发团队留下了巨大的危险信号,大概是作为有关漏洞的警告而不是直接利用。

黑客将后门插入PHP源代码

PHP开发团队在3月28日(星期日)发布 了正式声明,确认其违反了源代码。

该声明证实,PHP源代码确实遭到了破坏,恶意代码已从主要开发人员Rasmus Lerdorf和Nikita Popov的帐户推送到PHP Git服务器。

后门尚未进入生产环境(这意味着它尚未被实时推送到任何服务器),它将使攻击者能够在任何易受攻击的PHP服务器上执行代码。它将授予对威胁行为者的大量访问权限,并对使用该编程语言的数百万个网站构成重大威胁。

相关:如何使用这些方便的函数在PHP中处理文本

但是,尽管漏洞的泄露和暴露很糟糕,但很明显,一个或多个黑客从未打算将漏洞利用。要触发恶意代码,攻击必须将请求发送到名为zerodium的特定字符串。

Zerodium是著名的漏洞利用代理服务的名称,黑客可以在其中将漏洞利用出售给出价最高的人。包含该名称使人们相信黑客正在引起PHP开发团队的注意,而不是积极利用此漏洞。

相关:了解如何使用Packagist分发PHP软件包

PHP开发采取额外的安全措施

由于违反协议,PHP开发团队将改变其管理对Git服务器的访问的方式,使其GitHub存储库成为该项目的实际代码库,而不仅仅是当前的镜像。

尽管调查仍在进行中,但我们已决定维护自己的git基础结构是不必要的安全风险,因此我们将停止git.php.net服务器。取而代之的是,GitHub上以前只是镜像的存储库将变得规范。这意味着更改应直接推送到GitHub而不是git.php.net。

切换之后,那些需要访问PHP存储库的用户将必须直接与开发团队联系以提出请求。

尽管开发团队认为该漏洞是Git服务器本身(而不是个人帐户)的妥协,但是PHP开发正确地采取了其他措施以确保不再有漏洞。

根据W3Techs的说法,互联网上大约80%的站点都使用某种形式的PHP,因此完全可以理解其他安全步骤。