程序员要当心 PhpStudy被曝植入“后门”

克日，海内知名PHP调试情形措施集成包“PhpStudy软件”被曝遭到黑客改动并植入“后门”，该变乱引起普及存眷，亚信安详也对此举办了跟踪和观测，亚信安详专家在PhpStudy 2016和2018两个版本中同时发明白“后门”文件，该“后门”位于PhpStudy安装目次中php->ext中的php_xmlrpc.dll文件。今朝，收集中如故有高出1500个存在“后门”的php_xmlrpc.dll文件，这些被植入后门的PhpStudy软件凡是潜匿在软件下载站点和博客中。亚信安详将这些被改动的后门文件定名为Backdoor.Win32.PHPSTUD.A。

PhpStudy软件是海内的一款免费的PHP调试情形的措施集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需设置即可直接安装行使，具有PHP情形调试和PHP开拓成果，在海内有着近百万PHP说话进修者、开拓者用户。

具体说明

php_xmlrpc.dll文件说明

通过查察该库文件的字符串，安详专家发明其包括了可疑的eval字符串。

该字符串地址的函数中通过挪用PHP函数gzuncompress来解压相干shellcode数据。同时安详专家查察该文件的数据节区，也发明存在一些加密的字符串。

通过进一步的说明，该函数解压的shellcode是存放在C028到C66C区间内。

 

部门的shellcode硬编码。

Shellcode后门说明

安详专家对其shellocde进一步处理赏罚，先将相干数据dump到新的文件中，然后操作python名目化字符串，在php中操作gzuncompress函数解压。

解压后的shellcode如下图所示，是通过base64编码的剧本。

Base64解密后的剧本内容如下，链接后门举办GET哀求。

变乱追踪

亚信安详通过对多个版本文件的说明，安详专家发明被改动的后门首要呈此刻php-5.2.17和php-5.4.45版本中。

安详专家同样对没有被改动的php_xmlrpc.dll文件举办说明，发明此文件中并没有eval等可疑的字符串挪用。

正常文件

被改动的文件

亚信安详教你怎样防御

今朝PhpStudy官方的最新版本中不存在从此门，请到官方网站下载更新最新版本软件;

从正规网站下载软件;

回收高强度的暗码，停止行使弱口令暗码，并按期改换暗码;

亚信安详办理方案

亚信安详病毒码版本15.383.60，云病毒码版本15.383.71，环球码版本15.383.00已经可以检测，请用户实时进级病毒码版本。

（编辑：湖南网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!