湘情盾网络科技有限公司

源代码被添加后门之后,PHP的用户数据库可能已被入侵

作者:发布时间:2021-04-11 10:44:07点击:1392

在最新的软件供应链攻击中,PHP官方Git仓库被黑客攻击,代码库被篡改。近日,PHP维护人员表示黑客可能已经拥有了包含密码的用户数据库。3月28日,攻击者使用PHP的作者RasmusLerdorf和Jetbrains开发者NikitaPopov的账号,向git.php.net服务器上的php-src存储库推送了两次恶意提交。

用户数据库可能已被入侵此次事件最初被视为git.php.net服务器的泄露。但对事件进行进一步调查发现,这些提交是使用HTTPS和基于密码的认证推送的结果,这让研究人员怀疑master.php.net用户数据库可能存在泄露。

同时,研究人员还发现黑客需要对用户名进行几次猜测,一旦找到正确的用户名,就会成功认证。但如果数据库已经泄露,为什么黑客还需要进行猜测呢?目前,研究人员还没有找到原因。不过,PHP相关负责人表示,恶意提交几小时后,就被他们在进行常规的代码审查时发现。这些更改的恶意很明显,所以很快被还原了。

对于Git这样的源代码版本控制系统来说,这样的事件会发生很正常。因为可以把提交的内容为打上本地任何一个人的签名,然后再把伪造的提交内容上传到Git服务器上。这样一来,就会让人觉得这个提交确实是由签名的人提交的。事件回顾PHPGit服务器被植入RCE后门PHP是一种开源的计算机脚本语言,为互联网上超过79%的网站提供动力。因此,事件一经曝光被引起了强烈关注。

负责人Popov在公告中表示,他们目前还不知道事件是怎样发生的,但是此次事件导致的后果是git.php.net服务器的数据泄露而不是简单的单个账号的泄露。

仔细检查一下新增的第370行调用zend_eval_string函数的地方,可以发现,这段代码实际上是为运行被劫持的PHP版本的网站植入了一个后门,以获得轻松的远程代码执行(RCE)。

PHP的开发者表示,如果字符串以'zerodium'开头,这一行就会从useragentHTTP头内执行PHP代码。

此外,恶意代码中包含了一条注解“REMOVETHIS:soldtozerodium,mid2017”。值得注意的是,Zerodium是一家知名的零日漏洞经纪商,而注释的意思是“漏洞在2017年中出售给了zerodium”。对此,而Zerodium的CEOChaoukiBekrar认为攻击者很可能试图出售这个漏洞,但找不到卖家,所以攻击者干脆自己恶搞

PHP官方代码库迁移到GitHub作为此次事件后的预防措施,PHP维护人员决定将PHP官方源码库迁移至GitHub。

他们表示,虽然调查还在继续,但为了减少自己的Git基础设施所面对的风险,他们决定关闭git.php.net的服务器。原本只是镜像的GitHub上的存储库,之后将成为正式服务器。

并且,从现在开始,任何修改都要直接推送到GitHub上而不是原先的服务器。

那些想要帮助PHP的人可以申请在GitHub上被添加为PHP组织的一部分。不过,如果要成为该组织的一员,先要在自己的GitHub账户上开启双因素认证。

目前,PHP还在检查除了那两个恶意提交外的威胁,并且检查是否有任何代码再恶意提交被发现之前被分发到下游。

此外,据说master.php.net认证系统使用的是非常老的操作系统和PHP的版本,这就使得攻击者也有可能利用软件的漏洞来发动攻击。

因此,维护者已经将master.php.net迁移到新的main.php.net系统中,并支持TLS1.2。此外,维护者还重置了所有现有的密码,并使用bcrypt而不是普通的MD5哈希存储密码。



在线客服
技术支持
热线电话
返回顶部

湘情盾

在线客服:
点击这里给我发消息湘情盾-笑笑
点击这里给我发消息湘情盾-文
点击这里给我发消息湘情盾-峰
点击这里给我发消息湘情盾-嘟嘟
点击这里给我发消息湘情盾-小宋
点击这里给我发消息湘情盾-小洁
点击这里给我发消息湘情盾-迎彤
点击这里给我发消息湘情盾-9
点击这里给我发消息湘情盾-欣欣
点击这里给我发消息湘情盾-瑶瑶
点击这里给我发消息湘情盾-知若
点击这里给我发消息湘情盾-茂茂
点击这里给我发消息湘情盾-靓靓
点击这里给我发消息湘情盾-寒雪
点击这里给我发消息湘情盾-若兰
点击这里给我发消息湘情盾-冰巧
渠道合作:
点击这里给我发消息渠道合作
财务QQ:
点击这里给我发消息湘情盾-财务
技术支持:
点击这里给我发消息技术支持

售后服务热线:

0745-2261996

技术邮箱:Server@15dun.com

总公司地址:湖南省怀化市鹤城区人民路新悦城608号