登陆 注册

phpStudy隐藏后门预警

森恋陈 2019-09-28 后门预警安全快讯
乐山桑云信息技术有限公司(www.sangyun.net)专注于企业安全与网站、小程序、APP架设,为企业客户提供一站式解决方案,帮助企业快速实现互联网+转型。

0x01:前言

    近日,phpStudy被公告疑似遭遇黑客攻击,程序包自带PHP的php_xmlrpc.dll模块隐藏有后门,经网友确认phpStudy2016、phpStudy2018的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。

    通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中,至少有2个版本:

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考:

findstr /m /s /c:"@eval"*.*

    

0x02:复现

0x02:预防

    phpStudy启动时默认加载php-5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

文由洛米维熊

生成海报
请发表您的评论
2文章数 0评论数
最近文章
请关注微信公众号
微信二维码
不容错过
Powered By SangYun.Net