最近,phpStudy暴露在一個後門漏洞中。
在先前版本的phpStudy2016(PhpStudy2018)中,EXE包被懷疑嵌入了特洛伊木馬的後門,導致許多網站和伺服器受到攻擊和篡改。
目前,我們的正弦安全公司立即成立了一支php-Seary安全應急小組。
針對在某些客戶端伺服器上安裝的PHP一鍵環境,進行了全面的漏洞修復和安全保護。
第一次確保客戶網站的安全,以及服務的安全和穩定運行。
在漏洞的細節方面,我們從安全性分析,以及再現、漏洞修復三個方面入手。國內大多數伺服器,特別是windows系統,都安裝了phpStudy一鍵環境構建軟體,可以自動安裝Apache、php、MySQL資料庫,以及Zend安裝,並自動設置根帳戶密碼、一鍵操作,這在廣大網站運營商和伺服器維護人員中很受歡迎。
正是由於使用它的人數眾多,他們才成為攻擊者的目標,並將木馬的後門植入exe包中。後門文件是PHP環境中的php_xmlrpc.dll模塊嵌入在木馬後門中,經過我們的正弦安全技術安全測試後,具體的名稱可以確定為phpStudy2016.11.03版本以及phpStudy2018.02.11版本。後門文件如下:phpphp-5.2.17extphp_xmlrpc.dllphpphp-5.4.45extphp_xmlrpc.dllPHPTutorialphpphp-5.2.17extphp_xmlrpc.dllPHPTutorialphpphp-5.4.45extphp_xmlrpc.dll搜索phpStudy文件夾下的php_xmlrpc.dll文件,以查看該dll文件是否包含@val(%s(『%s)的字符。
如果是這樣的話,基本上有一個特洛伊木馬後門。截圖如下:讓我們分析副本漏洞,看看它是否可以被成功利用。首先,在本地安裝phpStudy2016.11.03版本的安裝包,將其解壓縮到當前目錄,然後單擊EXE直接運行它。PHP的默認版本是php5.4.45版本,然後在本地打開它,並使用劃痕工具檢測當前數據包。GET/safe.phpHTTP/1.1Host:Cache-Control:max-age=1Upgrade-Insecure-Requests:2User-Agent:Mozilla/5.0(WindowsNT6.1;WOW 64)AppleWebKit/537.36(Chrome/63.0.3239.132Safari/537.36Accept:Accept-Language:zh-CN,zh;q=0.6Accept-Encoding:gzipAccept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==)連接的執行位置:關閉漏洞位於數據包的接受字符集中,其中惡意代碼加密的phpinfo被寫入並提交到過去,並且執行phpinfo語句。
關於phpStudy漏洞的修複方法,請從phpStudy官方網站下載最新版本,將php_xmlrpc.dll替換為舊版本,過濾並驗證PHP Accept-charset的參數傳輸,以防止提交惡意參數,禁止代碼傳輸,並修復此漏洞。(事實證明,phpStudy的後門正式宣布,黑客入侵官方網站之前,後門已經篡改了這個包。強烈鄙視黑客的行為如果你對代碼不太了解,你也可以找到一個專業的網站安全公司來處理和解決,國內SINESAFE,啟蒙明星,綠色聯盟比較好,目前,該漏洞有廣泛的影響,請儘快修復漏洞,修補,防止網站受到攻擊、篡改。