Bei diesem Command wird der PAT (Personal Access Token) in die Git Config des Git-Verzeichnisses geschrieben.
Wenn man nun den gleichen Fehler macht wie ich, und aus Versehen den .git Ordner per FTP in den /var/www/html Ordner von Apache hochlädt, ist der Access Token öffentlich einsehbar.
Was in meinem Fall zur Folge hatte, dass 295 Spam-Issues (Crypto-Airdrop-Werbung) mit meinem Account bei GitHub angelegt wurden. Laut Security Log hat jemand aus Indien (Prayagraj, Uttar Pradesh) den PAT verwendet.
Es hatte auch zur Folge, dass GitHub meinen Account gesperrt hat und ich eine Konversation mit dem Support führen musste.
Natürlich hatten die Angreifer auch Zugriff auf den gesamten Source Code meiner Repos… Unschön. Glücklicherweise ist mein MySQL Server aus Sicherheitsgründen nur per localhost erreichbar, also war kein Zugriff auf sensible Daten möglich (MySQL Passwort stand in PHP Datei).
Damit der Fehler nicht nochmal passiert habe ich den neuen Access Token nun im User-Ordner hinterlegt und bei Filezilla eingestellt dass .git Ordner nicht hochgeladen werden (Datei-/Verzeichnisfilter -> Source control directories anhaken).
Hier habe ich beschrieben, wie ich die erstellten Spam-Issues unschädlich gemacht habe.