Acabado | Zheng Liyuan
Exposición | CSDN (ID: CSDNnews)
Como lenguaje de secuencias de comandos ejecutado en el lado del servidor, PHP es particularmente adecuado para el desarrollo web y puede integrarse en HTML, por lo que muchos desarrolladores de sitios web personales y corporativos están acostumbrados a la conveniencia de PHP.
Pero recientemente, el repositorio oficial de PHP Git fue atacado por piratas informáticos, lo que provocó que se manipulara la base del código. El código malicioso implantó una puerta trasera de ejecución remota de código, es decir, ¡los piratas informáticos pueden controlar de forma remota cualquier sitio web que use PHP !
Dos presentaciones maliciosas falsas
El domingo pasado, el desarrollador y mantenedor de PHP Nikita Popov declaró que se encontraron dos confirmaciones maliciosas en el repositorio php-src mantenido en el servidor git.php.net, y ambos falsificaron su firma y la firma del creador de PHP Rasmus Lerdorf.
En la superficie, estos dos envíos son simplemente "Corregir error tipográfico", es decir, para corregir errores tipográficos y de mecanografía. Además, se envían con los nombres de Nikita Popov y Rasmus Lerdorf, por lo que los desarrolladores pueden confundirlos fácilmente como mantenedores de PHP conocidos. .para.
Sin embargo, una vez que moví mi mirada a la línea 370, surgió el problema: esta línea de código que llama a la función zend_eval_string está realmente implantada con una puerta trasera de ejecución remota de código (RCE) Cualquier sitio web que ejecute esta versión de PHP será atacado.
El desarrollador de PHP Jake Birchall interpretó esto como: " Si la cadena comienza con 'zerodium', entonces esta línea de código ejecutará el código PHP desde el encabezado HTTP useragent ".
Según una encuesta de Web Technology Surveys, casi el 80% de los sitios web del mundo son compatibles con PHP. Si esta puerta trasera de ejecución remota de código (RCE) se implantara y no se descubriera, las consecuencias serían desastrosas.
Afortunadamente, Nikita Popov declaró que estos dos envíos maliciosos se descubrieron y revertieron rápidamente: "El primer envío se descubrió unas horas después del envío. Esto es parte de la revisión periódica del código posterior a la confirmación. Estos cambios son claramente maliciosos. restaurado inmediatamente ".
Además, Popov agregó que estos envíos maliciosos se realizaron en la rama de desarrollo de PHP 8.1, que se lanzará a fines de este año , por lo que actualmente no hay consecuencias graves.
Repositorio de código fuente PHP migrado de Git a GitHub
Dado que las presentaciones maliciosas se cargaron en nombre de los mantenedores legítimos de Nikita Popov y Rasmus Lerdorf, hasta ahora, no está claro quiénes son los perpetradores y cómo publicaron las presentaciones maliciosas. Sin embargo, la ocurrencia de este tipo de cosas no es demasiado sorprendente, porque un sistema de control de versiones de código fuente como Git es realmente muy fácil de cargar confirmaciones falsas en un servidor Git remoto.
El mantenedor de PHP Nikita Popov también señaló que aunque el equipo de desarrollo no está seguro del método de ataque exacto, hay indicios de que esta actividad maliciosa fue causada por un servidor git.php.net infectado, en lugar de una cuenta personal de Git.
Por lo tanto, para evitar que tales incidentes vuelvan a ocurrir, los mantenedores de PHP han decidido migrar el repositorio oficial de código fuente PHP a GitHub .
Nikita Popov dijo en un comunicado que aunque la investigación aún está en curso, detendrán el servidor git.php.net . Y el repositorio de GitHub que solo se usó como espejo se estandarizará en el futuro. En otras palabras, todos los cambios futuros en el código PHP se enviarán directamente a GitHub en lugar del servidor git.php.net.
Además, los desarrolladores que anteriormente tenían acceso de escritura al repositorio del proyecto PHP ahora también deben unirse a la organización PHP en GitHub.
Zerodium: Relación conmigo
Como el principal lenguaje de programación en el lado del servidor hasta el día de hoy, la piratería del servidor Git de PHP ha despertado una gran atención y discusión. Hoy, está en la página de inicio o en la lista TOP de Techmeme y HN.
Entre ellos, debido a que la palabra "zerodium" se menciona en el código malicioso, muchos desarrolladores especulan que este asunto puede estar relacionado con Zerodium.
PD: Zerodium es conocido como un traficante de armas en red, una empresa que se especializa en comprar vulnerabilidades de software, revender vulnerabilidades de 0 días y revenderlas al gobierno y a las fuerzas del orden.
Al respecto, el CEO de Zerodium, Chaouki Bekrar, negó los rumores relacionados en Twitter: "Saludos al troll que ingresó 'Zerodium' en PHP git hoy. Obviamente, este asunto no tiene nada que ver con nosotros . Es muy probable que el investigador que descubrió esto vulnerabilidad Intentaron venderlo a muchas entidades, pero nadie quería comprar esta basura, entonces la quemaron ”.
Muchos internautas también tuvieron acaloradas discusiones sobre este incidente.
Comentario 1:
El tercer parámetro de'zend_eval_string 'en el envío [1] es el "nombre de archivo" del código ejecutado, que puede usarse para seguimientos de pila. Este es un fenómeno muy extraño, y verlo en el registro puede hacer sonar la alarma de inmediato.
Entonces, en general, en mi opinión, la estructura de esta presentación es extraña, no en una "buena" forma de ocultación, sino en una forma de "por qué no intenta esconderse mejor".
Comentario 2:
Después de estudiar Django durante unos meses, ayer decidí volver a PHP / wordpress. PHP7 y PHP8 parecen ser estables, y PHP sigue siendo el lenguaje más adecuado para la Web. En mi opinión, PHP8 agrega JIT, que puede extenderse más allá de las aplicaciones web. Espero que la migración a GitHub le dé al equipo más libertad en el desarrollo de PHP.
¿Tiene alguna opinión al respecto? ¡Bienvenido a dejar un mensaje en el área de comentarios!
Enlace de referencia:
https://github.com/php/php-src/commit/2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8a?branch=2b0f239b211c7544ebc7a4cd2c977a5b7a11ed8bce36e368bef
