GitLab Gitblit 后门 密码重置

GitLab是利用 Ruby on Rails 一个开源的版本管理系统，实现一个自托管的Git项目仓库，可通过Web界面进行访问公开的或者私人项目。它拥有与Github类似的功能，能够浏览源代码，管理缺陷和注释。可以管理团队对仓库的访问，它非常易于浏览提交过的版本并提供一个文件历史库。团队成员可以利用内置的简单聊天程序(Wall)进行交流。它还提供一个代码片段收集功能可以轻松实现代码复用，便于日后有需要的时候进行查找。

GitLab密码重置过程中发现软件“后门”，存在一个隐藏账户：user id=1,[email protected]。

参考链接：

1. 强制找回GitLab管理员账户密码的方法
2. How to reset your root password
3. gitlab官网
4. 服务器上的 Git - GitLab

以 root 用户登录服务器,一定要是 root

gitlab-rails console production

user = User.where(id: 1).first

user.password = 'secret_pass'

user.password_confirmation = 'secret_pass'

user.save

注意：第四第五步就是你的密码,不要随意替换,先重置成 secret_pass 后期再改吧.避免密码不符合要求到最后一步的保存的时候出错

Gitblit 是一个纯 Java 库用来管理、查看和处理 Git 资料库.相当于 Git 的 Java 管理工具，支持linux系统。
Git是分布式版本控制系统，它强调速度、数据一致性，并且支持分布式、非线性工作流。它最初由Linus Torvalds在2005年为Linux内核设计和开发，使用GPLv2证书，
并从此成为软件开发中使用最广泛的版本控制系统。
Gitblit是完全开源的软件，它基于纯粹的Java堆栈，被设计以在Git仓库速度和效率方面胜任从小型到极大型的项目。它很容易学习和上手，并有着闪电般的性能。它在很多方面远胜Subversion、CVS、Perforce和ClearCase等SCM（版本控制）工具，比如，如快速本地分支、易于暂存、多工作流等。

Gitblit重置密码只需要修改users.conf配置文件中的password即可。

gitblit/data/users.conf
Have the admin change the password or modify users.conf manually and set a plain-text password.

参考链接：

1. What is Gitblit?
2. Gitblit版本服务器环境部署记录