พบ Backdoor ในที่เก็บโค้ด PHP

เป็นที่รู้กันว่า PHP นั้นเป็น Open Source ซึ่งใครก็สามารถเข้าไปพัฒนาโปรแกรมได้ โดยโค้ด PHP เหล่านี้จะถูกเก็บใน Git Server ซึ่งจะถูกเก็บไว้ในระบบ “Karma”

ระบบ “Karma” นี้จะให้สิทธิ์ในการเข้าถึงของผู้ใช้ที่แตกต่างกัน ซึ่งหากต้องการเข้าร่วมจะต้องส่งคำร้องเข้าไปที่ระบบนี้ หากผ่านผู้ใช้จะได้รับบัญชีที่เป็น @php.net

แต่เมื่อไม่นานมานี้ทางกลุ่มของ PHP วางแผนว่าจะย้ายออกจากระบบ “Karma” Git Server ไปยัง GitHub เพื่อเป็นการเพิ่มมาตรการรักษาความปลอดภัยที่มากขึ้น

แต่เมื่อประมาณ 2 วันที่ผ่านมาได้พบว่ามีการวาง Backdoor ไว้ที่ Git Server โดยชื่อผู้ที่ทำเรื่องนี้ก็คือ ผู้พัฒนา และผู้ดูแล PHP ที่รู้จักกันดีในชื่อ Rasmus Lerdorf และ Nikita Popov

เป้าหมายการโจมตีในครั้งนี้อยู่ที่เก็บ php-src บนเซิร์ฟเวอร์ git.php.net โดยมีการเปลี่ยนแปลงโค้ดเพื่อสร้าง Backdoor ทำให้สามารถสั่งรันโค้ดจากระยะไกลและจัดการส่วนของ HTTP header ได้ ทำให้แฮกเกอร์สามารถกระทำสิ่งต่างๆ ที่เป็นอันตรายได้ เช่นสร้างไฟล์ใหม่, ขโมยข้อมูลบน Server, ลบไฟล์ และยึดเว็บที่พัฒนาด้วย PHP บน Server

จากการตรวจสอบพบว่ามีการแอบอ้างชื่อผู้ดูแลทั้งสองกระทำการนี้ และทางทีมงานก็ได้ออกมาประกาศเรื่องนี้แล้ว

โชคดีว่ามีการพบปัญหานี้หลังจากโค้ดถูกเปลี่ยนไปประมาณ 2-3 ชม. และได้มีการเปลี่ยนกลับไปเรียบร้อยแล้ว แต่เพื่อเป็นการป้องกันความปลอดภัยจะย้ายโค้ด PHP ทั้งหมดไปเก็บไว้ที่ GitHub แล้ว

ที่มา Bleeping Computer