Phpstudy被暴存在隱藏后門-檢查及修復方法

原創 jingccj  2019-10-08 16:51:29  閱讀 111 次 評論 0 條

Phpstudy被暴存在隱藏后門-檢查方法

一、事件背景

Phpstudy軟件是國內的一款免費的PHP調試環境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環境調試和PHP開發功能,在國內有著近百萬PHP語言學習者、開發者用戶。

9月20日杭州公安微信公眾賬號發布了“杭州警方通報打擊涉網違法犯罪暨“凈網2019”專項行動戰果”的文章,文章里說明phpstudy存在“后門”。

二、影響版本

phpstudy 2016版PHP5.4存在后門(軟件作者聲明)。

實際實際測試官網下載phpstudy2018版php-5.2.17和php-5.4.45也同樣存在后門

三、后門檢測方法

1、看官網發表聲明說只要從官網下載的都不存在漏洞(套路深~~~~~~~)

 

 2、哎呀,嚇得的我趕緊查一下自己的電腦從官網下載安裝的phpstudy有沒有后門。

通過分析,后門代碼存在于\ext\php_xmlrpc.dll模塊中

phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45

phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpStudy2018路徑

PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用記事本打開此文件查找@eval,文件存在@eval(%s(‘%s’))證明漏洞存在

附后門文件MD5值:

MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5

3、手工分析

3.1、查看phpstudy2016 php 5.4.45版本中是否存在漏洞,說明存在后門

 

 3.2、使用在線計算文件md5,查看疑似后門文件的md5,發現MD5值確實是后門文件的md5值。

3.3、查看phpstudy2016 php 5.2.17版本中是否存在漏洞,發現存在后門

 

 3.4、使用在線計算文件md5,查看疑似后門文件的md5,發現MD5值確實是后門文件的md5值。

 

 3.5、查看phpstudy2018 php 5.2.17版本中是否存在漏洞,說明存在后門

 

 3.6、使用在線計算文件md5,查看疑似后門文件的md5,發現MD5值確實是后門文件的md5值。(0f7ad38e7a9857523dfbce4bce43a9e9)

3.7、查看phpstudy2018 php 5.4.45版本中是否存在漏洞,說明存在后門

 

  3.8、使用在線計算文件md5,查看疑似后門文件的md5,發現MD5值確實是后門文件的md5值。(c339482fd2b233fb0a555b629c0ea5d5)

四、修復方法

1、可以從PHP官網下載原始php-5.4.45版本或php-5.2.17版本,替換其中的php_xmlrpc.dll

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

2、目前phpstudy官網上的版本不存在后門,可在phpsudy官網下載安裝包進行更新

 

-------------------------------------------------------------------------------------

phpStudy后門漏洞利用復現:https://www.cnblogs.com/yuzly/p/11610061.html


本文地址:http://www.joutvc.tw/post/2118.html
版權聲明:本文為原創文章,版權歸 jingccj 所有,歡迎分享本文,轉載請保留出處!

發表評論


表情

還沒有留言,還不快點搶沙發?