您当前的位置:首页 > 电脑百科 > 程序开发 > 语言 > php

网站漏洞检测 关于phpstudy后门的分析与修复

时间:2019-09-27 14:08:38  来源:  作者:

phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即成立phpStudy安全应急响应小组,针对部分客户服务器上安装该PHP一键环境搭建的情况,进行了全面的漏洞修复与安全防护。第一时间保障客户的网站安全,以及服务器的安全稳定运行。关于该漏洞的详情,我们来安全分析一下,以及复现,漏洞修复,三个方面来入手。

国内大部分的服务器尤其windows系统,都有安装phpstudy一键环境搭建软件,该软件可以自动设置安装Apache,php,MySQL数据库,以及zend安装,并自动设置root账号密码,一键化操作,深受广大网站运营以及服务器维护者的喜欢,正因为使用的人较多,导致被攻击者盯上并植入木马后门到exe程序包中。

该后门文件是PHP环境当中的php_xmlrpc.dll模块被植入木马后门,具体的名称,经过我们SINE安全技术的安全检测,可以确定是phpstudy2016.11.03版本,以及phpstudy2018.02.11版本,后门文件如下:

phpphp-5.2.17extphp_xmlrpc.dll

phpphp-5.4.45extphp_xmlrpc.dll

PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

PHPTutorialphpphp-5.4.45extphp_xmlrpc.dll

在phpstudy文件夹下面搜索php_xmlrpc.dll文件,看下这个dll文件里是否包含@eval(%s('%s'))内容的字符,如果有的话,基本上就是有木马后门了。截图如下:

我们来分析复现漏洞看下,是否可以成功的利用,首先本地安装phpstudy2016.11.03版本的安装压缩包,解压到当前目录直接点击EXE运行即可,默认安装的PHP版本就是php5.4.45版本,然后本地打开看下,用抓包工具检测当前的数据包。

GET /safe.php HTTP/1.1

Host:

Cache-Control: max-age=1

Upgrade-Insecure-Requests: 2

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36

(Khtml, like Gecko) Chrome/63.0.3239.132 Safari/537.36

Accept:

Accept-Language: zh-CN,zh;q=0.6

Accept-Encoding:gzip

Accept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==(这个是POC代码加密的)

Cookie: Hm_lpvt_49143271fe785debb3b77f77f7c71752=1569485559;

Connection: close

漏洞的执行位置是在数据包的Accept-Charset里,这里写入恶意代码加密的phpinfo,然后提交过去,就会执行phpinfo语句。

关于phpstudy漏洞的修复办法,从phpstudy官方网站下载最新的版本,将php_xmlrpc.dll进行替换到旧版本里即可,对PHP的Accept-Charset的参数传输做安全过滤与效验防止提交恶意参数,禁止代码的传输,即可修复此漏洞,(经证实对此phpstudy官方公告此后门是黑客之前入侵了官网篡改了程序包导致的安全问题,强烈鄙视黑客的行为!)如果您对代码不是太了解的话,也可以找专业的网站安全公司来处理解决,国内SINESAFE,启明星辰,绿盟都是比较不错的,目前该漏洞影响范围较广,请各位网站运营者尽快修复漏洞,打好补丁,防止网站被攻击,被篡改。



Tags:phpstudy   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
phpstudy配置ssl的方法:1.下载自己的SSL证书,进行解压。2.打开phpstudy,打开php扩展中的“php_openssl”功能。3.打开配置文件“httpd -conf”,将以下三行取消前面#注释符。 Loa...【详细内容】
2021-02-24  Tags: phpstudy  点击:(222)  评论:(0)  加入收藏
报告编号:B6-2020-090302报告来源:360CERT报告作者:360CERT更新日期:2020-09-030x01 漏洞简述2020年09月03日,360CERT监测发现 phpstudy 发布了 phpstudy 安全配置错误漏洞 的风...【详细内容】
2020-09-04  Tags: phpstudy  点击:(182)  评论:(0)  加入收藏
在这篇文章中,小编要给您推荐的是这款内置集成环境的软件,phpstudy。有些人一看到这个是国产的集成环境软件,心里就过不去,但是小编想说的是,不要因为他是国产软件就直接否定他,实...【详细内容】
2020-06-09  Tags: phpstudy  点击:(152)  评论:(0)  加入收藏
最近项目需求需要用到mongodb数据库,网上搜了一堆,结果不是复制安装mododb的解说成mongo的,就是安装mongo的说成是mongodb的, 一.phpstudy扩展mongoDB的前提 记得先安装PHPstu...【详细内容】
2019-12-06  Tags: phpstudy  点击:(84)  评论:(0)  加入收藏
2019年9月20日,杭州市公安局举行新闻通报会,通报今年以来组织开展打击涉网违法犯罪暨“净网2019”专项行动战果,通报内容中提到国内著名的PHP调试环境程序集成包Phpstudy软件遭受到以马某为首的国内黑客团伙攻击并被植入...【详细内容】
2019-11-15  Tags: phpstudy  点击:(109)  评论:(0)  加入收藏
最近,我前公司的网站telpo.cn被最新的木马攻击,接连发生了很多问题,网站经常断断续续地打开,然后流量被劫持,一时间排除问题才发现是被挂木马了。相信站长SEOer们在日常网站优化...【详细内容】
2019-10-16  Tags: phpstudy  点击:(105)  评论:(0)  加入收藏
新手开发PHP程序,大多使用phpStudy集成环境,在使用过程中会出现Apache或者MySQL服务无法启动的问题,这要怎么解决?下面本篇文章就来给大家介绍一下解决方法。 Apache或者MySQL...【详细内容】
2019-10-11  Tags: phpstudy  点击:(376)  评论:(0)  加入收藏
前面 IT三国 跟大家分享了『PhpStudy V8.0新版本介绍及下载安装的图文教程』,今天我们就以建立 ZBlogPHP 站点为例说明一下 PhpStudy V8.0 是如何建立网站的?1、前往ZBlog 官...【详细内容】
2019-10-08  Tags: phpstudy  点击:(816)  评论:(0)  加入收藏
phpStudy于近日被暴露出有后门漏洞,之前的phpStudy2016,phpStudy2018部分版本,EXE程序包疑似被入侵者植入木马后门,导致许多网站及服务器被攻击,被篡改,目前我们SINE安全公司立即...【详细内容】
2019-09-27  Tags: phpstudy  点击:(81)  评论:(0)  加入收藏
网站上面部署ssl证书的站点越来越大,但有很多集成式的web服务器无法按照一般站点的配置来部署ssl证书,现在,卓趣科技就以集成式phpstudy为例(apache+mysql),为大家展示一下正确的s...【详细内容】
2019-09-25  Tags: phpstudy  点击:(145)  评论:(0)  加入收藏
▌简易百科推荐
序言:前段时间织梦因为版权的问题在网上闹得沸沸扬扬,也提醒了众多开发者选择cms上应该谨慎使用,今天给大家展示一款自己搭建的内容管理系统,不用担心版权的问题,而且非常容易维...【详细内容】
2021-11-30  小程序软件开发    Tags:管理系统   点击:(34)  评论:(0)  加入收藏
准备安装包(PHP: Hypertext Preprocessor)下载安装包以及组件wget https://www.php.net/distributions/php-8.0.0.tar.bz2wget https://github.com/phpredis/phpredis/archive...【详细内容】
2021-11-09  mimic96    Tags:PHP   点击:(40)  评论:(0)  加入收藏
golang context 很好用,就使用php实现了github地址 : https://github.com/qq1060656096/php-go-context context使用闭坑指南1. 将一个Context参数作为第一个参数传递给传入和...【详细内容】
2021-11-05  1060656096    Tags:PHP   点击:(41)  评论:(0)  加入收藏
一段数组为例:$list = array:4 [ 0 => array:7 [ "id" => 56 "mer_id" => 7 "order_id" => "wx163265961408769974" "is_postage" => 0 "store_name" => "奇...【详细内容】
2021-09-29  七七小影视    Tags:PHP   点击:(65)  评论:(0)  加入收藏
利用JS的CryptoJS 3.x和PHP的openssl_encrypt,openssl_decrypt实现AES对称加密解密,由于需要两种语言对同一字符串的操作,而CryptoJS 的默认加密方式为“aes-256-cbc”,PHP端也...【详细内容】
2021-09-16  李老师tome    Tags:对称加密   点击:(79)  评论:(0)  加入收藏
1、checkdate()验证格利高里日期即:日期是否存在。checkdate(month,day,year);month必需。一个从 1 到 12 的数字,规定月。day必需。一个从 1 到 31 的数字,规定日。year必需。...【详细内容】
2021-08-31  七七小影视    Tags:时间函数   点击:(80)  评论:(0)  加入收藏
对于各类开发语言来说,整数都有一个最大的位数,如果超过位数就无法显示或者操作了。其实,这也是一种精度越界之后产生的精度丢失问题。在我们的 PHP 代码中,最大的整数非常大,我...【详细内容】
2021-08-26  硬核项目经理    Tags:PHP   点击:(83)  评论:(0)  加入收藏
遵从所有教材以及各类数据结构相关的书书籍,我们先从线性表开始入门。今天这篇文章更偏概念,是关于有线性表的一个知识点的汇总。上文说过,物理结构是用于确定数据以何种方式存...【详细内容】
2021-07-19  硬核项目经理    Tags:线性表   点击:(94)  评论:(0)  加入收藏
一、开启IIS全部功能。二、部署PHP1.官网下载并解压PHP: https://windows.php.net/downloads/releases/2.将php.ini-development文件改为php.ini3.修改php.ini(1)去掉注释,并修...【详细内容】
2021-07-15  炘蓝火诗  今日头条  Tags:PHP环境   点击:(129)  评论:(0)  加入收藏
一、环境说明本文中使用本地VM虚机部署测试。OS:CentOS Linux release 7.8.2003 (Core)虚机配置:2核CPU、4G内存①系统为CentOS 7.8 x64最小化安装,部署前已完成系统初始化、...【详细内容】
2021-06-25  IT运维笔记  今日头条  Tags:PHP8.0.7   点击:(141)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条