侵權舉報/版權申訴以下是【狼語】分享的內容全文:
1.事件背景
Phpstudy軟件是國內的一款免費的PHP調試環境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環境調試和PHP開發功能,在國內有著近百萬PHP語言學習者、開發者用戶
北京時間9月20日,杭州公安發布《杭州警方通報打擊涉網違法犯罪暨‘凈網2019’專項行動戰果》一文,文章曝光了國內知名PHP調試環境程序集成包“PhpStudy軟件”遭到黑客篡改并植入“后門”。截至案發,近百萬PHP用戶中超過67萬用戶已被黑客控制,并大肆盜取賬號密碼、聊天記錄、設備碼類等敏感數據多達10萬多組,非法牟利600多萬元。
2.影響版本
軟件作者聲明phpstudy 2016版PHP5.4存在后門。
實際測試官網下載phpstudy2018版php-5.2.17和php-5.4.45也同樣存在后門
3.后門檢測方法
通過分析,后門代碼存在于\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用記事本打開此文件查找@eval,文件存在@eval(%s(‘%s’))證明漏洞存在
附后門文件MD5值:
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5
3.修復方法
1)對服務器進項全盤查殺,檢查web程序是否存在后門和Webshell,檢查操作系統是否有隱藏的賬號以及后門
2) 可以從PHP官網下載原始php-5.4.45版本或php-5.2.17版本,替換其中的php_xmlrpc.dll,下載地址:
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip
3)目前phpstudy官網上的版本不存在后門,可在phpsudy官網下載安裝包進行更新
1.軟件源碼推廣展示:目的展示軟件相關功能,接收技術學習者測試、測評;
2.教程課程信息展示:展示課程信息,傳授課程各階段內容;
3.設計素材圖片展示:展示素材設計理念、思維方式、傳播設計理念;
4.福利優惠信息展示:分享各類最新的福利信息,各種優惠信息展示;
以上分享目的僅供學習、參考使用,請勿用于其他用途,如果想商業使用或者代理,請自行聯系版權方獲取授權。任何未獲取授權的商業使用與本站無關,請自行承擔相應責任。
本站不存儲任何資源文件,敬請周知!
如果您認為本頁信息內容侵犯了您的相關權益(包含但不限于:著作權、首發權、隱私權等權利),或者您認為自己是此信息的權利人但是此信息不是自己發布的,可以直接版權舉報投訴,我們會根據網站注冊協議、資源分享協議等協議處理,以保護您的合法權益。
本網站采用 BY-NC-SA 協議進行授權 轉載請注明原文鏈接:Phpstudy 2016和2018被暴存在隱藏后門-附檢測方法
