PHP的Git服务器被黑客入侵,源代码被插入后门代码

最新推荐文章于 2022-10-20 21:22:31 发布
最新推荐文章于 2022-10-20 21:22:31 发布
阅读量574 收藏
点赞数
文章标签: 编程语言 git github java 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/blackorbird/article/details/115315249
版权
2021年3月,PHP官方Git服务器被黑客入侵,恶意代码通过冒充内部人员提交,含有可疑Zerodium字符。这可能是依赖混淆攻击的实例,涉及私有库混淆。PHP团队已暂停服务器并转向GitHub镜像。警惕供应链安全风险,及时检查代码更新。
摘要由CSDN通过智能技术生成

2021年3月28日,有身份不明人士入侵了PHP编程语言的官方Git服务器http://git.php.net,并上传了未经授权的更新包,而包中源代码被插入了秘密后门代码。

这两个恶意提交被推送到git.php.net服务器上的自托管php-src存储库中,使用的是编程语言的作者Rasmus Lerdorf和Microsoft的软件开发人员Nikita Popov的名字Jetbrains。

PHP方面发布紧急公告指出:

2021-03-28,两个恶意代码分支提交到了php-src repo上,使用的是内部人员的名字,目前内部不知道是如何发生,但是一切都指向了git.php.net服务器可能被入侵的情况。

尽管目前正在调查,但是为了确保安全,我们已经停止了git.php.net服务器,之后会跳转到Github上的镜像存储库中。

被插入代码地址,实现的功能很显然了。
https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d

https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a

黑鸟在代码中发现含有Zerodium的字符,Zerodium是一个著名的0day漏洞经纪人,这里的字符串很有可能是攻击者为了嫁祸给Zerodium。

目前安全社区认为,攻击的手段可能是这个:

在2021年2月,有研究人员就发布了一种新颖的供应链攻击,安全研究人员设法破坏了超过35家主要公司的内部系统,包括Microsoft,Apple,PayPal,Shopify,Netflix,Yelp,Tesla和Uber的内部系统,并实现了远程代码执行。

该技术称为依赖混淆(dependency confusion) 或替代攻击,它利用一个软件可能包含来自私有和公共来源的混合依赖库。

简单来说,就是攻击者首先通过收集大量这些公司的一些私有库(很多是由于github的代码或者js中的代码泄露导致),也就是一些内部会使用的库的名称,而这些库一般是不会传到公有库里面去的,例如pypI、npm。

而这时候,攻击者将恶意代码库命名为私有库名称,并将其伪造成最新的私有库模块上传到公有库中,而有的公司的代码中可能存在错误的更新配置,导致客户端会自动从公有库中下载伪造的“最新”版本而无需要求开发人员采取任何措施,这样在调用库的时候就直接中招了。(仅举例说明,详细请参考链接)

作者采取了DNS传输的方法将数据从受害者的电脑传输到其设备中。

当然以上都是其他的技术,具体PHP的Git服务器如何被入侵还需要等待详细调查。

如果有定期更新PHP源代码习惯的同学记得检查一二,防止被供应链攻击。

参考链接:

https://news-web.php.net/php.internals/113838

https://medium.com/@alex.birsan/dependency-confusion-4a5d60fec610


blackorbird
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
PHPGit 服务器黑客入侵,源码库将永久迁移至 GitHub
CSDN资讯
03-30 1万+
整理 | 郑丽媛 出品 | CSDN(ID:CSDNnews) 作为在服务器端执行的脚本语言,PHP 尤为适用于 Web 开发并可嵌入 HTML 中,因此许多个人和企业网站的开发都习惯了 PHP 的便捷。 可近日,PHP 官方 Git 仓库却被黑客攻击,致代码库遭篡改,恶意代码植入了一个远程代码执行的后门,即黑客可远程接管任何使用 PHP 的网站! 两个冒名的恶意提交 上周日,PHP 的开发者兼维护者 Nikita Popov 表示,在 git.php.net 服务器上维护的 php-src 存储库中发.
微软承认被黑客入侵,37GB 的源代码被泄露
非著名程序员
03-24 710
大家好,我是校长。昨天看到一条消息:根据 Reddit 上的帖子和 Cyber Kendra 上的一份报告显示,微软的 DevOps 帐户已被 LAPSUS$ (Lapsus) 组织入侵。Lapsus$ 是一个什么样的黑客组织呢?它是一个数据勒索黑客组织,他们不会在受害者的设备上安装勒索软件。但是他们通过破坏公司系统,窃取源代码、客户名单、数据库和其他有价值的数据。然后,...
PHP源码被加入后门,疑git服务器被黑
bingyu1024的博客
04-10 492
上月28日,PHP遭遇软件供应链攻击。2个恶意commit被推送到了位于git.php.net服务器的由PHP 团队维护的php-src Git 仓库。 PHP目前最流行的服务器编程语言,互联网上超过79%的网站都使用PHP语言。上月28日,PHP遭遇软件供应链攻击。2个恶意commit被推送到了位于git.php.net服务器的由PHP 团队维护的php-src Git 仓库。 这2个恶意commit是经过签名的,通过签名可以发现是由于PHP 开发和维护人员Rasmus Lerdorf和Nik
php源码授权后门,PHP授权系统+支持盗版入库+一键黑页后门注入+卡密授权
weixin_28585773的博客
03-23 919
PHP授权系统+支持盗版入库+一键黑页后门注入+卡密授权p stylewhite-space normal;PHP授权系统支持盗版入库一键黑页后门注入卡密授权/pp stylewhite-space normal;span stylecolor rgb255, 0, 0;升级会员可免积分下载本站99资源。/span/pp stylewhite-space normal;【最新修复版】/pp sty...
phpstudy后门事件
BUG制造者:图图 <p>这是一个P标签</p>
09-30 2398
西湖警方破获一起以马某为首的非法控制计算机信息系统、诈骗案,抓获团伙成员7人,缴获了大量涉案物品,该团伙非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,非法牟利600余万元;桐庐警方一举捣毁多起团伙开设赌场案,成功捣毁8个犯罪团伙,抓获犯罪嫌疑人50余名,采取刑事强制措施40余名,查扣涉案电脑、手机80余台,银行卡60余张、账本10余本,涉案抽头获利资金400余...
Git源代码管理规范1
08-08
"Git源代码管理规范" 一、分支管理 在 Git 源代码管理中,分支管理是一项重要的任务。通常将一个项目的所有分支分为以下几条主线: 1. Master:顾名思义,Master 分支就是主分支的意思。Master 分支永远是 ...
本地源代码自动提交远程git服务器解决方案
08-14
标题中的“本地源代码自动提交远程git服务器解决方案”是指一种自动化流程,用于确保开发者不会忘记将他们的代码更改推送到远程Git仓库。这个解决方案利用了批处理脚本(BAT脚本)和Windows的任务计划程序功能,使得...
Git是一款分布式源代码管理工具(版本控制工具)
最新发布
10-09
与CVS、Subversion一类的集中式版本控制工具不同,它采用了分布式版本库的作法,不需要服务器端软件,就可以运作版本控制,使得源代码的发布和交流极其方便。Git的速度很快,这对于诸如Linux内核这样的大项目来说...
VS2017使用Git进行源代码管理的实现
08-18
将解决方案添加到源代码管理可以使得代码Git 所管理,从而可以更好地记录代码的修改记录和版本控制。在 VS2017 中,可以通过 Team Explorer 将解决方案添加到源代码管理。 其次,需要进入团队资源管理器。团队...
使用Git管理源代码
03-02
最新的源代码解决方案都包含了版本控制系统,它可以对源代码的修改进行回滚,从而将有害的代码剔除出项目之外,或者简单地跟踪哪些人修改了代码的哪些行的内容。版本控制系统试图解决开发人员在试图同时对某个文件...
blackbird:黑鸟是一个像观察员的人
05-18
黑鸟 黑鸟是什么? blackbird是一个像观察员的人。 目前(发送数据部分是可插入的,因此blackbird可以将数据发送到它之外) blackbird通过使用zabbix sender protocol将数据发送到您的zabbix服务器。 发送数据时: 中间件统计信息例如:nginx stub_status,内存缓存统计信息,redis INFO等! AWS资源使用情况和统计​​信息(通过使用cloudwatch API) 例如:Elastic Load Blancing,DynamoDB,RDS等! 因此,您不再需要为zabbix用户参数创建噩梦shell脚本。 我们创建什么插件? Nginx,memcached,redis,MySQL5.5,AWS Elastic Load Blancing,AWS RDS,AWS DynamoDB等! 请查看 。 如何安装黑鸟 使用p
PHPStudy后门事件分析
weixin_30872337的博客
09-24 633
PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHPphp_xmlrpc.dll模块隐藏有后门。经过分析除了有反向连接木马之外,还可以正向执行任意php代码。 影响版本 Phpstudy 2016 php\php-5.2.17\ext\php_xmlrpc.dll php\php-5.4.45\ext\php_xmlrpc.dll Phpstudy 20...
PHP源代码后门事件后续:用户数据库遭泄露或是元凶
smellycat000的专栏
04-08 542
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
Gitee实现本地代码上传他人的远程仓库
Fairy_CYX的博客
10-20 3233
Gitee实现本地代码上传他人的远程仓库以及相关报错信息的解决
metasploitable2渗透测试
qq_57976347的博客
06-06 1257
一、系统弱密码登录 1、在kali上执行命令行telnet 192.168.26.129 2、Login和password都输入msfadmin 3、登录成功,进入系统 4、测试如下: 二、MySQL弱密码登录: 1、在kali上执行mysql –h 192.168.26.129 –u root 2、登录成功,进入MySQL系统 3、测试效果: 三、PostgreSQL弱密码登录 1、在Kali上执行psql -h 192.168.26.129 –U post...
详细分析PHP源代码后门事件及其供应链安全启示
smellycat000的专栏
03-30 2004
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根...
php源码查后门,某一次排查源码后门的过程
weixin_39762856的博客
03-10 4369
源码藏后门这种事情,屡见不鲜了。文件包含,文件调用,拼接,大小马,htaccess文件做手脚等等………不过今天我就遇到个奇葩,藏了后门还不承认,非说是程序自带的。给大家看看程序结构先。我检查了我所知道的一切后门方式。也用扫描器查找了一般,以为安全了直接上服务器部署好了,域名解析开始使用。第二天,莫名其妙登录日志有其他人了。也没太在意,觉得应该是自己登录路径和密码设的不够复杂,被人试出来了。改了一下...
php 文件防篡改,防篡改php文件校验程序
weixin_31854867的博客
04-03 614
/*** 校验线上源文件是否和本地的一致* User: Administrator* Date: 2015/11/26* Time: 9:30*/include_once ‘functions.php‘;class SrcVerifier{var $md5_files = array();var $total = 0;public function scan($dir, $prefix_len, ...
VisualSVN与Git:计算机科学的源代码管理实践
本次实验旨在深入学习和实践源代码版本管理,主要涉及两个流行的版本控制工具:SVN和Git。在中国矿业大学计算机科学与技术专业,2017级本科生严冰针对课程《源代码版本管理》撰写了实验报告。 1. 实验目的: 学习...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值