-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Wrzucono backdoora do kodu źródłowego PHP. Wygląda na włamanie na serwer Gita

29 marca 2021, 11:35 | W biegu | komentarze 3

O temacie jako jeden z pierwszych doniósł Bleepingcomputer. Do tematu ustosunkowała się również ekipa PHP:

28 marca 2021r. zostały wykonane do repozytorium php-src dwa „lewe” commity. Nie wiemy co się dokładnie wydarzyło, ale wszystko wskazuje na włamanie na serwer git.php.net

Yesterday (2021-03-28) two malicious commits were pushed to the php-src
repo [1] from the names of Rasmus Lerdorf and myself. We don’t yet know how exactly this happened, but everything points towards a compromise of the git.php.net server (rather than a compromise of an individual git account).

Złośliwa zmiana została opisana jako niewinna poprawka literówki, a co ciekawe zawiera również na oko podejrzany kod – m.in. coś takiego:

zend_eval_string(Z_STRVAL_P(enc)+8, NULL, "REMOVETHIS: sold to zerodium, mid 2017");

Całość wykonuje kod PHP z podesłanego przez atakującego nagłówka HTTP, o czym względnie szybko zorientowali się deweloperzy PHP:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Dlaczego ktoś wstawił tego stringa „REMOVETHIS: sold to zerodium, mid 2017”?

    Odpowiedz
  2. janusz z podlasia

    dwa oczywiste commity z oczywistym eval().
    Zasłona dymna. tych „właściwych” zmian jeszcze się naszukacie

    Odpowiedz
    • Adasss

      Z ciekawości aż wlazłem na ich serwer, żeby sprawdzić ilość i wielkość „commitów” … i jeśli cała ta podatność sprowadza się po prostu do możliwości dodania na bieżąco nowego „commita”, to mocno wątpię, by było czego szukać.

      Odpowiedz

Odpowiedz na janusz z podlasia