首页 > 业界 > 关键词 > PHP最新资讯 > 正文

PHP的Git服务器被黑客攻击 源码库被添加后门

2021-03-29 21:40 · 稿源:cnbeta.com

在最新的软件供应链攻击中,PHP官方Git仓库被黑客攻击,代码库被篡改。昨天,PHP 团队在 git.php.net 服务器上维护的 php-src Git 仓库中被推送了两个恶意提交。攻击者在上游提交了一个神秘的改动,称其正在"修复排版",假装这是一个小的排版更正,并且伪造签名,让人以为这些提交是由已知的PHP开发者和维护者Rasmus Lerdorf和Nikita Popov完成的。

实际上,攻击者的恶意提交是植入了远程代码执行后门。考虑到PHP仍然是服务器端编程语言,为互联网上超过79%的网站提供支持,这一事件令人震惊。新增的第370行调用zend_eval_string函数的地方,这段代码实际上是为运行这个被劫持的PHP版本的网站埋下了一个后门,以获取轻松的远程代码执行(RCE)。

"如果字符串以'zerodium'开头,这一行就会从useragent HTTP头内执行PHP代码。"PHP开发者Jake Birchall向最先指出这一异常的Michael Voříšek回应道。

php-rce.webp

在电子邮件采访中,PHP维护者Nikita Popov告诉我们。

"第一次提交是在几个小时后被发现的,作为常规提交后代码审查的一部分。Popov表示,"这些改动是相当明显的恶意的,并且马上就被还原了"。

这并不奇怪,因为像Git这样的源码版本控制系统,可以将一个提交的内容签名为来自本地的其他人,然后将伪造的提交上传到远程的Git服务器上,这样就会给人一种印象,好像它确实是由被已知的开发者签名的。

虽然对事件的完整调查还在进行中,但根据PHP维护者的说法,这次恶意活动源于被入侵的git.php.net服务器,而不是个人的Git账户被入侵。作为此次事件后的预防措施,PHP维护人员决定将PHP官方源码库迁移至GitHub。

"虽然调查仍在进行中,但我们决定维护自己的git基础设施是一个不必要的安全风险,我们将停止使用git.php.net服务器。"

php-announcement.webp

"取而代之的是,GitHub上的仓库,以前只是镜像,现在将成为规范的来源。"Popov宣布。随着这一改变的进行,从现在开始,任何代码修改都要直接推送到GitHub上,而不是git.php.net服务器上。

那些有兴趣为PHP项目做出贡献的人现在需要在GitHub上被添加为PHP组织的一部分。相关说明在同一个安全公告中提供。

要成为该组织的成员,你需要在你的GitHub账户上启用双因素认证(2FA)。"我们正在审查仓库中除了两个引用的提交之外的任何损坏,在此期间,它可能被克隆/分叉,但这些更改并没有进入任何标签或发布工件中。"

"这些改动是在PHP8.1的开发分支上,该分支将在年底发布。"PHP团队已经证实,他们计划在接下来的日子里最终退役他们的git服务器,并永久转移到GitHub。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 软件加密库OpenSSL出现高危漏洞,容易遭黑客攻击服务器崩溃

    日前,OpenSSL 项目修复了一个高危漏洞,该漏洞允许黑客发送特制恶意请求完全关闭大量的服务器。OpenSSL 是最广泛使用的软件加密库,提供了经过时间考验的靠谱的加密功能。

  • 反对PHP协程提案,Swoole创始人被质疑存私心

    根据 Fiber RFC 中的描述,Fiber 主要用于为异步 I/O 实现协程,提供了独立栈分配、函数调用的暂停和恢复功,它将作为扩展集成到 PHP 中:https://github.com/amphp/ext-fiber。

  • 让数据不再裸奔 中兴通讯服务器存储产品的信心之源

    2020 年 4 月,《中共中央、国务院关于构建更加完善的要素市场化配置体制机制的意见》(以下简称“《意见》”)发布,数据作为一种新型生产要素被写入国家文件中,与土地、劳动力、资本、技术等传统要素并列为要素之一。数据的价值正在被重新认识,那么数据的安全该如何守护呢?中兴通讯为服务器存储注入“定心丸”随着社会数字化、智能化飞速发展,海量的数据在带来挑战的同时,亦孕育了无限机遇和可能。在疫情的冲击下,越来越多

  • 腾讯云服务器爆品秒杀活动地址 2021腾讯云服务器最新优惠活动

    腾讯云服务器在最近开启了最新的爆品秒杀活动,这个活动中1核2G的云服务器只要首年99元即可获得,很多朋友还不清楚具体的活动地址,下面就来为大家分享一下腾讯云服务器最新优惠活动地址。

  • 戴尔科技集团发布面向人工智能和边缘计算的新一代PowerEdge服务器

    戴尔科技集团(NYSE:DELL)宣布推出新一代更强大、更安全的戴尔易安信PowerEdge服务器。借助这些全新服务器,戴尔正在成就一条通往自主基础设施的道路,旨在提高IT效率、拥抱人工智能并满足边缘的IT需求。从核心数据中心到公有云和边缘位置,无论数据存储在哪里,这个全球销量领先的服务器产品系列 2 都能提供强大的功能,帮助客户从这些数据中获取实时洞察并进行数据处理。这 17 款全新的PowerEdge服务器融入了 1100 项戴尔已经?

  • HPE发布软件定义机会引擎,同时宣布收购CloudPhysics公司

    近日,HPE发布软件定义机会引擎(Software-Defined Opportunity Engine)并收购CloudPhysics,以实现跨本地和云的更智能的IT。2月23日,HPE全球高级副总裁兼存储事业部总经理Tom Black对此发表博客文章。我正式向大家介绍我们的软件定义机会引擎(简称SDOE)。这一新解决方案由HPE InfoSight支持,通过利用软件和数据驱动的分析,我们的合作伙伴和客户可以从现实世界的数据中受益,这些数据可以帮助他们以最透明,最有效和最具成本效益的方式?

  • 魔兽世界3月2日PTR服务器更新维护内容汇总 纳斯利亚堡难度再次下调

    魔兽世界官方在3月2日公布了下次即将进行的更新改动,其中对团本纳斯利亚堡再次进行了削弱,此外还削弱了一下赤红深渊的五人本,下面就来为大家分享一下更新内容。

  • 倒计时3天!BlueHost全场主机服务器五折促销

    阳春三月,BlueHost中国给大家带来了三月钜惠送豪礼,任意机房主机服务器全场最高可享五折优惠。促销活动截止到3月12日,有需要的朋友可以关注哦!据悉,BlueHost虚拟主机/云虚拟主机最高可享5折超级优惠,无限空间和流量;美国VPS主机全场5折优惠,其中高速稳定SSD美国VPS仅需25元/月;美国服务器和香港服务器最高可享5折,其中千兆独享大流量美国服务器399元/月起;美国站群服务器一口价699元/月低价促销。使用优惠码即可享受!B

  • 龙之谷手游停运公告 将于6月1日11点正式关闭服务器

    2021年3月22日,在今天早上10点,龙之谷手游的官方正式发布了停运公告,表示3月22日就停止游戏充值和新用户注册,之后会在6月1日关闭服务器。

  • 面对高通量、任务关键型环境总没辙?群晖企业级NAS服务器解决管理难题!

    数字化经济时代,大数据正逐步深入发展至经济生活和社会活动的各个领域,越来越多的企业也将数据作为一种战略资源,重新定义并努力挖掘数据价值。随着企业业务运营过程中处理的数据量越来越大,指数级的数据增长给企业造成存储压力的问题日益凸显,选择理想的企业级数据管理产品和解决方案、构建完善的企业IT服务环境,就成了广大企业用户的当务之急。作为践行企业生产力并为客户提供多样的数据管理解决方案的科技企业,群晖科技为

  • 苹果研发新屏下光学Touch ID传感:新款iPhone要大改外形

    跟其他厂商不同的是,苹果是拥有自己的传感器工厂,而且他们也一直在研发屏下指纹技术,从目前的情况看,这技术很快要用到iPhone上了。

  • 西部数码云服务器促销,满减优惠券无限领,高可立省1800元!

    开年后,不少用户开始投入新一年的工作了,这个时候做网站的不可避免会用到云服务器。但服务器动辄几百上千,甚至上万,要有效的节省运维成本,就要在云服务器大幅促销的时候下手了。比如,现在西部数码开年大促,云产品满减优惠无限次领取,单笔最高可省1800元,而且只要有消费就能参与iphone12、mate40等大奖抽取。

  • Find 十年:OPPO探索极致产品,打造有温度的差异化服务

    3 月 11 日,在OPPO Find X3 系列全球发布会上,承载着OPPO探索与先锋精神的“十年理想之作”——Find X3 系列闪亮登场。“流线机身,环形山镜头设计”、2000+ 控制点、艺术级热锻工艺、OC0 曲面玻璃镀膜工艺,这款十年理想之作着实令人惊喜。除了机身工艺设计美学,OPPO Find X3 系列在色彩和拍摄方面也有诸多令人惊喜的新表现,搭载 10 亿色双主摄、全链路 10bit色彩引擎以及 10 亿色臻彩屏,从拍摄到存储再到显示,每一步都是 1

  • 苹果iPhone 12系列「超级周期」或延续至iPhone 13系列推出

    分析师Daniel Ives和Strecker Backe写道,春节过后,供应链调查表明苹果仍然看好其产量。对预期的减产没有任何大的变化。「我们已经有好几年没有看到苹果公司出现这样强劲的生产趋势了,」分析师提出。「根据我们的分析,唯一类似的iPhone生产轨迹是于2014年发布的iPhone6。」

  • 2021华为云服务器大额优惠券领取地址 华为云8800元代金券礼包获取

    相信不少小伙伴都有用华为云服务器,最近华为云开启了最新的云服务器打折采购季活动,还可以领取8800元的大红包,其中有大额优惠代金券,下面就来为大家分享一下华为云服务器的优惠券领取地址。

  • 蚂蚁集团起诉一金融服务APP商标侵权获赔100万

    中国裁判文书网于 3 月 26 日发布蚂蚁科技集团股份有限公司与海南庆德大信息科技有限公司侵害商标权纠纷一审民事判决书。

  • 原来iPhone可以称重 网友:它可以承受我的重量吗

    今日,“原来iPhone可以称重”话题登上热搜,引来网友一片惊呼。进入iPhone设置选项中的触控中,然后打开三位触控与触感触控,然后就可以去称重了。

  • 流媒体音乐服务 Spotify App 新增 36 种新语言,正式支持简体中文

    Spotify于2006年在瑞典创建,截至去年9月底用户规模达3.2亿名,其中1.44亿为付费用户,是目前全球最大的流媒体音乐服务平台。Spotify曲库的歌曲多达6000万首、歌单40万个、播客190万个。

  • 通付盾加固服务完美适配Android 12 DP1

    2021年2月19日(美国东部时间下午04:53),谷歌公司发布了首个Android 12开发人员预览版,通付盾加固第一时间基于Android 12 DP1版本完成兼容性验证工作,验证结果完美适配。通付盾加固技术与Android系统版本的同步机制通付盾Android应用加固技术架构基于Android系统内核的运行机制进行高度耦合搭建,天生对Android系统自适应兼容,并还会根据每一次Android系统新版本的发布第一时间进行兼容适配的验证工作,深度分析Android新版本的

  • 微软与AMD宣布新合作: 基于第三代EPYC处理

    对于AMD来说,想要赚更多的利润,那么在服务器市场抢占更多的份额就是很重要的一步。据外媒报道称,今天微软与AMD宣布新合作,而合作是基于AMD最新发布的EPYC7003 系列处理器,以实现更深入的Azure可信赖计算选项。

  • 热门标签