网站漏洞检测 关于phpstudy后门的分析与修复

　　phpStudy于近日被暴露出有后门漏洞，之前的phpStudy2016，phpStudy2018部分版本，EXE程序包疑似被入侵者植入木马后门，导致许多网站站点及we服务器被攻击，被篡改，目前我们SINE安全公司企业立即成立phpStudy安全应急响应小组，针对部分客户使用者we服务器上安装该PHP一键环境搭建的情况，进行了全面的漏洞修复与安全防护。第一时间保障客户使用者的网站站点安全，以及we服务器的安全稳定运行。关于该漏洞的详情，我们来安全分析一下，以及复现，漏洞修复，三个方面来入手。

　　国内大部分的we服务器尤其windows系统，都有安装phpstudy一键环境搭建软件，该软件可以自动配置设置安装apache,php，mysql数值数据库，以及zend安装，并自动配置设置root账号密码，一键化操作，深受广大网站维护网站运营以及we服务器管理维护者的喜欢，正因为使用的人较多，导致被攻击者盯上并植入木马后门到exe程序包中。

　　该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门，具体的名称，经过我们SINE安全技术的安全检测，可以确定是phpstudy2016.11.03版本，以及phpstudy2018.02.11版本，后门文件如下：

　　phpphp-5.2.17extphp_xmlrpc.dll

　　phpphp-5.4.45extphp_xmlrpc.dll

　　PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

　　PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

　　在phpstudy文件夹下面检索搜索php_xmlrpc.dll文件，看下这个dll文件里是不是是否包含@eval(%s('%s'))信息内容的字符，如果有的话，基本上就是有木马后门了。截图如下：

　　我们来分析复现漏洞看下，是不是是否可以成功的利用，首先本地安装phpstudy2016.11.03版本的安装压缩包，解压到当前目录直接访问点击EXE运行即可，默认安装的PHP版本就是php5.4.45版本，然后本地打开看下，用抓包工具检测当前的数值数据包。

　　GET /safe.php HTTP/1.1

　　Host:

　　Cache-Control: max-age=1

　　Upgrade-Insecure-Requests: 2

　　User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36

　　(KHTML, like Gecko) Chrome/63.0.3239.132 Safari/537.36

　　Accept:

　　Accept-Language: zh-CN,zh;q=0.6

　　Accept-Encoding:gzip

　　Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(这个是POC代码加密的)

　　Cookie: Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559;

　　Connection: close

　　漏洞的执行位置是在数值数据包的Accept-Charset里，这里写入恶意代码加密的phpinfo，然后提交过去，就会执行phpinfo语句。

　　关于phpstudy漏洞的修复办法，从phpstudy官方网站站点下载最新的版本，将php_xmlrpc.dll进行替换到旧版本里即可，对PHP的Accept-Charset的参数传输做安全过滤与效验防止提交恶意参数，禁止代码的传输，即可修复此漏洞，（经证实对此phpstudy官方公告此后门是黑客之前入侵了官方网站篡改了程序包导致的安全问题，强烈鄙视黑客的行为！）如果您对代码不是太了解的话，也可以找专业的网站站点安全公司企业来处理解决，国内SINESAFE，启明星辰，绿盟都是比较不错的，目前该漏洞影响范围较广，请各位网站维护网站运营者尽快修复漏洞，打好补丁，防止网站站点被攻击，被篡改。

转载自：网站漏洞检测 关于phpstudy后门的分析与修复

网站建设服务

悉知科技是一个有着12年经验的网站建设开发公司，品牌建站/外贸网站建设/谷歌营销推广/品牌营销策划，这些我们都能帮您搞定！

在线咨询

网站建设制作方案是什么 ? 报价多少钱 ?

获取建站报价