这2个恶意commit是经由署名的,通过署名可以创造是由于PHP 开拓和掩护职员Rasmus Lerdorf和Nikita Popov操作的。
PHP Git 做事器被植入RCE后门PHP Git做事器被黑的commit
从图中可以看出,在第370行,调用了zend_eval_string函数,实际上这段代码注入了后门来在运行被挟制的PHP版本的网站上实现远程代码实行。
PHP开拓职员Jake Birchall最早创造非常,称如果字符串因此zerodium开头的,那么这行代码会在useragent HTTP header实行PHP代码。
该恶意commit因此PHP开拓职员Rasmus Lerdorf的名义提交的。
Php安全公告
PHP给出的安全公告称,目前被黑的详细细节仍在调查中。但是指向了git.php.net做事器被黑,而不是个人的git账号。
PHP 官方代码库迁移到GitHub由于本次事宜,PHP掩护职员决定将官方PHP 代码库迁移到GitHub平台。之后,所有的代码修正都会直接推送到GitHub上。
PHP团队向BleepingComputer确认,其操持终极停用Git做事器,并永久和完备地迁移到GitHub。
恶意commit 1:https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a&diff=unified#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R368-R370
恶意commit 2:https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R370
参考及来源:https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/
作者:ang010ela
来源:嘶吼专业版
