新智元报道??

来源：GitHub

编辑：LRS、小匀

【新智元导读】PHP的git服务器被攻击了，合入了两个恶意commit，nikic发信称将迁移仓库到GitHub上。代码中竟然包括「Zerodium」，莫非背后有什么交易？

PHP的一名贡献者Nikita Popov

(网名nikic)公开发信称，php的git服务器被黑客攻入。

nikic是PHP的主要contributor，目前在Jetbrains旗下的PhpStorm项目工作，并且开发过许多PHP的开源库。他也是LLVM项目的开发者。

src="/wp-content/uploads/20210401/0355251.png">

信中说3月28日晚上，两个恶意的commit提交到了php-src仓库中，以Rasmus

Lerdorf和nikic的名义提交。

虽然目前还不知道黑客是如何攻入PHP的离线git服务器git.php.net，但服务器确实存在安全隐患。

为了防止今后再发生类似的事件，git.php.net服务器将会关停，目前仍可访问。

src="/wp-content/uploads/20210401/0355272.png">

以前php-src在GitHub上的仓库仅作为镜像使用，今后的修改将直接提交到GitHub上。

如果还没有申请GitHub仓库上PHP组织的权限，则需要联系nikic申请。

在GitHub上的提交都要开启2FA（双重身份验证）认证。

src="/wp-content/uploads/20210401/0355273.png">

在开启2FA后，每次需要移动设备来额外验证一次身份，通过扫描二维码获取验证码。

src="/wp-content/uploads/20210401/0355284.png">

恶意提交

名为「fix typo」上的一次提交于两天前。

src="/wp-content/uploads/20210401/0355295.png">

增加了几行代码，如果字符串以「zerodium」开头，则会攻击用户的服务器，日期标注为mid

2017，并表示这个漏洞卖给了zerodium。

src="/wp-content/uploads/20210401/0355306.png">

Zerodium是一家关注信息安全的美国公司，成立于2015年，总部位于华盛顿和欧洲，它的主要业务是从安全研究人员手中第一时间获取攻击信息。

Zerodium的CEO发推特表示「我是清白的」。显然，发现这个bug的研究人员想把这个漏洞卖给其他公司，但是没人想买。

src="/wp-content/uploads/20210401/0355307.png">

Reddit网友表示，这作案手段也太明显了。

src="/wp-content/uploads/20210401/0355318.png">

根据Web Technology

Surveys的调查结果显示，超过80%的网站都在使用PHP，例如WordPress等。

这个小「失误」会影响到PHP的地位吗？

参考资料：

https://news-web.php.net/php.internals/113838

上云赋智，AI新家！

2021年3月31日(周三），首期AI家主题论坛——「创新之都

AI赋智」由新智元创始人杨静主持，中关村(000931,股吧)软件园总经理张金辉到场致辞，主题演讲环节荣幸邀请到达闼科技创始人&CEO黄晓庆、科大讯飞(002230,股吧)执行总裁胡郁、英伟达亚太区副总裁潘迪等AI科研产业先锋，分享「5G上云?

AI赋智」的精彩案例。现场还有达闼云端机器人Ginger小姜与大家进行精彩互动，还将根据新智元创新指数研究，公布「2020 AI Era

创新大奖」！（特邀合作嘉宾清华大学新闻学院沈阳教授致辞）

新征程，新跨越，新智元&达闼科技邀你在新浪直播平台一同见证！扫描下方二维码，获取视频直播、图片云直播！

src="/wp-content/uploads/20210401/0355319.jpg">

本文首发于微信公众号：新智元。文章内容属作者个人观点，不代表和讯网立场。投资者据此操作，风险请自担。

（责任编辑：李莹 HN016）

看全文

写评论已有条评论跟帖用户自律公约

提 交还可输入500字

最新评论

查看剩下100条评论

推荐阅读

和讯热销金融证券产品