欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  IT编程

Phpstudy被暴存在隐藏后门-检查方法

程序员文章站 2022-03-25 22:23:51
Phpstudy被暴存在隐藏后门-检查方法 一、事件背景 Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国 ......

phpstudy被暴存在隐藏后门-检查方法

一、事件背景

phpstudy软件是国内的一款免费的php调试环境的程序集成包,通过集成apache、php、mysql、phpmyadmin、zendoptimizer多款软件一次性安装,无需配置即可直接安装使用,具有php环境调试和php开发功能,在国内有着近百万php语言学习者、开发者用户。

9月20日杭州*微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明phpstudy存在“后门”。

二、影响版本

phpstudy 2016版php5.4存在后门(软件作者声明)。

实际实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门

三、后门检测方法

1、看官网发表声明说只要从官网下载的都不存在漏洞(套路深~~~~~~~)

Phpstudy被暴存在隐藏后门-检查方法

 

 

 2、哎呀,吓得的我赶紧查一下自己的电脑从官网下载安装的phpstudy有没有后门。

通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中

phpstudy2016和phpstudy2018自带的php-5.2.17、php-5.4.45

phpstudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll

phpstudy2018路径

phptutorial\php\php-5.2.17\ext\php_xmlrpc.dll
phptutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在

附后门文件md5值:

md5: 0f7ad38e7a9857523dfbce4bce43a9e9
md5: c339482fd2b233fb0a555b629c0ea5d5

3、手工分析

3.1、查看phpstudy2016 php 5.4.45版本中是否存在漏洞,说明存在后门

Phpstudy被暴存在隐藏后门-检查方法

 

 

 3.2、使用在线计算文件md5,查看疑似后门文件的md5,发现md5值确实是后门文件的md5值。

Phpstudy被暴存在隐藏后门-检查方法

3.3、查看phpstudy2016 php 5.2.17版本中是否存在漏洞,发现存在后门

Phpstudy被暴存在隐藏后门-检查方法

 

 3.4、使用在线计算文件md5,查看疑似后门文件的md5,发现md5值确实是后门文件的md5值。

Phpstudy被暴存在隐藏后门-检查方法

 

 3.5、查看phpstudy2018 php 5.2.17版本中是否存在漏洞,说明存在后门

Phpstudy被暴存在隐藏后门-检查方法

 

 3.6、使用在线计算文件md5,查看疑似后门文件的md5,发现md5值确实是后门文件的md5值。(0f7ad38e7a9857523dfbce4bce43a9e9)

3.7、查看phpstudy2018 php 5.4.45版本中是否存在漏洞,说明存在后门

Phpstudy被暴存在隐藏后门-检查方法

 

  3.8、使用在线计算文件md5,查看疑似后门文件的md5,发现md5值确实是后门文件的md5值。(c339482fd2b233fb0a555b629c0ea5d5)

四、修复方法

1、可以从php官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll

https://windows.php.net/downloads/releases/archives/php-5.2.17-win32-vc6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-win32-vc9-x86.zip

2、目前phpstudy官网上的版本不存在后门,可在phpsudy官网下载安装包进行更新