PHP目前最流行的服務器端編程語言，互聯網上超過79%的網站都使用PHP語言。3月28日，PHP遭遇軟件供應鏈攻擊。2個惡意commit被推送到了位于git.php.net服務器的由PHP 團隊維護的php-src Git 倉庫。

這2個惡意commit是經過簽名的，通過簽名可以發現是由于PHP 開發和維護人員Rasmus Lerdorf和Nikita Popov操作的。

PHP Git 服務器被植入RCE后門

PHP Git服務器被黑的commit

從圖中可以看出，在第370行，調用了zend_eval_string函數，實際上這段代碼注入了后門來在運行被劫持的PHP版本的網站上實現遠程代碼執行。

PHP開發人員Jake Birchall最早發現異常，稱如果字符串是以zerodium開頭的，那么這行代碼會在useragent HTTP header執行PHP代碼。

該惡意commit是以PHP開發人員Rasmus Lerdorf的名義提交的。

Php安全公告

PHP給出的安全公告稱，目前被黑的具體細節仍在調查中。但是指向了git.php.net服務器被黑，而不是個人的git賬號。

PHP 官方代碼庫遷移到GitHub

由于本次事件，PHP維護人員決定將官方PHP 代碼庫遷移到GitHub平臺。之后，所有的代碼修改都會直接推送到GitHub上。

PHP團隊向BleepingComputer確認，其計劃最終停用Git服務器，并永久和完全地遷移到GitHub。

• 惡意commit 1：https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a&diff=unified#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R368-R370
• 惡意commit 2：https://github.com/php/php-src/commit/c730aa26bd52829a49f2ad284b181b7e82a68d7d#diff-a35f2ee9e1d2d3983a3270ee10ec70bf86349c53febdeabdf104f88cb2167961R370

本文翻譯自：https://www.bleepingcomputer.com/news/security/phps-git-server-hacked-to-add-backdoors-to-php-source-code/

原文地址：https://www.4hou.com/posts/o8Jk