Phpstudy軟件是國(guó)內(nèi)的一款免費(fèi)的PHP調(diào)試環(huán)境的程序集成包，通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝，無需配置即可直接安裝使用，具有PHP環(huán)境調(diào)試和PHP開發(fā)功能，在國(guó)內(nèi)有著近百萬PHP語(yǔ)言學(xué)習(xí)者、開發(fā)者用戶。

近日，阿里云應(yīng)急響應(yīng)中心監(jiān)測(cè)到國(guó)內(nèi)知名PHP網(wǎng)站環(huán)境程序集成包“PhpStudy”遭黑客篡改，其Windows版本自帶的php_xmlrpc.dll模塊被植入后門。攻擊者在請(qǐng)求中構(gòu)造特定字符串，可實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行，控制服務(wù)器。

正是這樣一款公益性軟件，2018年12月4日，西湖區(qū)公安分局網(wǎng)警大隊(duì)接報(bào)案稱，某公司發(fā)現(xiàn)公司內(nèi)有20余臺(tái)計(jì)算機(jī)被執(zhí)行危險(xiǎn)命令，疑似遠(yuǎn)程控制抓取賬號(hào)密碼等計(jì)算機(jī)數(shù)據(jù)回傳大量敏感信息。

漏洞描述:

黑客通過篡改php_xmlrpc.dll模塊，導(dǎo)致用戶的請(qǐng)求均會(huì)經(jīng)過特定的后門函數(shù)。當(dāng)滿足一定條件時(shí)，黑客可以通過自定義頭部實(shí)現(xiàn)任意代碼執(zhí)行，在用戶無感知的情況下竊取用戶數(shù)據(jù)。

影響版本:

PhpStudy多個(gè)Windows版本被植入后門

安全建議

1. 用戶通過搜索php_xmlrpc.dll模塊中是否包含“eval”等關(guān)鍵字來定位是否存在后門，后門文件包括phpphp-5.4.45extphp_xmlrpc.dll 和 phpphp-5.2.17extphp_xmlrpc.dll 等。若存在請(qǐng)及時(shí)卸載后門程序并排查。

2. 關(guān)注PhpStudy官方安全公告，盡量在官網(wǎng)進(jìn)行下載和更新。