PHP: Git-Server gehackt und Hintertüren in den Quellcode geschmuggelt

Wie Nikita Popov vom PHP-Team berichtet, wurde das offizielle PHP-Git-Repository gehackt und der Quellcode manipuliert. Zwei böswillige Beiträge wurden demnach am vergangenen Sonntag im php-src Git-Repository (git.php.net) platziert. Dies ist extrem bedenklich, da die Programmiersprache PHP praktisch auf allen Webservern läuft und auf rund 80 Prozent aller Webseiten Verwendung findet.

Bei den böswilligen Änderungen handelt es sich um eine Hintertür, welche mit den Signaturen der bekannten PHP-Entwickler Rasmus Lerdorf und Nikita Popov versehen war. Unter der Vorgabe, lediglich einen Tippfehler korrigiert zu haben (Fix typo), wurde in der Zeile 370 eine Hintertür platziert, über die Angreifer aus der Ferne eigenen Code platzieren und über die betroffene Webseite ausführen können. Der Schadcode wird im HTTP-Header Useragent platziert und nur dann ausgeführt, wenn die Zeichenkette mit zerodium beginnt. Der Beitrag wurde zunächst angeblich von Rasmus Lerdorf freigegeben und nach der Löschung unter dem Namen von Nikita Popov abermals eingereicht.

Die böswilligen Änderungen waren nach wenigen Stunden im Rahmen von Routinekontrollen entdeckt worden. Aktuell deutet alles auf einen Hack des vom PHP-Team gepflegten Git-Servers (git.php.net) hin, weshalb dieser nun stillgelegt wird. Der Betrieb eines eigenen Git-Servers stelle ein zu hohes Sicherheitsrisiko dar, erklärt Nikita Popov in seiner Stellungnahme. Aus diesem Grund haben die PHP-Betreuer beschlossen, das offizielle PHP-Quellcode-Repository nach GitHub umzuziehen. Bisher lagen dort nur Spiegelungen von git.php.net. Wer Beiträge für PHP programmiert, muss nun Mitglied der PHP-Organisation auf GitHub werden.

Zum aktuellen Zeitpunkt ist noch unklar, auf welche Weise git.php.net gehackt wurde. Der Vorfall und der Quellcode von PHP werden aktuell noch untersucht. Die bekannten Code-Manipulationen sind nicht in einen Build von PHP eingeflossen.