PHP 目前最流行的服务器端编程语言,互联网上超过 79% 的网站都使用 PHP 语言。3 月 28 日,PHP 遭遇软件供应链攻击。2 个恶意 commit 被推送到了位于 git.php.net 服务器的由 PHP 团队维护的 php-src Git 仓库。
这 2 个恶意 commit 是经过签名的,通过签名可以发现是由于 PHP 开发和维护人员 Rasmus Lerdorf 和 Nikita Popov 操作的。
PHP Git 服务器被植入 RCE 后门
PHP Git 服务器被黑的 commit
从图中可以看出,在第 370 行,调用了 zend_eval_string 函数,实际上这段代码注入了后门来在运行被劫持的 PHP 版本的网站上实现远程代码执行。
PHP 开发人员 Jake Birchall 最早发现异常,称如果字符串是以 zerodium 开头的,那么这行代码会在 useragent HTTP header 执行 PHP 代码。
该恶意 commit 是以 PHP 开发人员 Rasmus Lerdorf 的名义提交的。
Php 安全公告
PHP 给出的安全公告称,目前被黑的具体细节仍在调查中。但是指向了 git.php.net 服务器被黑,而不是个人的 git 账号。
PHP 官方代码库迁移到 GitHub
由于本次事件,PHP 维护人员决定将官方 PHP 代码库迁移到 GitHub 平台。之后,所有的代码修改都会直接推送到 GitHub 上。
PHP 团队向 BleepingComputer 确认,其计划最终停用 Git 服务器,并永久和完全地迁移到 GitHub。