最近,phpStudy暴露在一个后门漏洞中。在先前版本的phpStudy(PhpStudy)中,EXE包被怀疑嵌入了特洛伊木马的后门,导致许多网站和服务器受到攻击和篡改。目前,我们的正弦安全公司立即成立了一支php-Seary安全应急小组。针对在某些客户端服务器上安装的PHP一键环境,进行了全面的漏洞修复和安全保护。第一次确保客户网站的安全,以及服务的安全和稳定运行。在漏洞的细节方面,我们从安全性分析,以及再现、漏洞修复三个方面入手。国内大多数服务器,特别是windows系统,都安装了phpStudy一键环境构建软件,可以自动安装Apache、php、MySQL数据库,以及Zend安装,并自动设置根帐户密码、一键操作,这在广大网站运营商和服务器维护人员中很受欢迎。正是由于使用它的人数众多,他们才成为攻击者的目标,并将木马的后门植入exe包中。后门文件是PHP环境中的php_xmlrpc.dll模块嵌入在木马后门中,经过我们的正弦安全技术安全测试后,具体的名称可以确定为phpStudy.11.03版本以及phpStudy.02.11版本。后门文件如下:phpphp-5.2.17extphp_xmlrpc.dllphpphp-5.4.45extphp_xmlrpc.dllPHPTutorialphpphp-5.2.17extphp_xmlrpc.dllPHPTutorialphpphp-5.4.45extphp_xmlrpc.dll搜索phpStudy文件夹下的php_xmlrpc.dll文件,以查看该dll文件是否包含val(%s(‘%s)的字符。如果是这样的话,基本上有一个特洛伊木马后门。截图如下:让我们分析副本漏洞,看看它是否可以被成功利用。首先,在本地安装phpStudy.11.03版本的安装包,将其解压缩到当前目录,然后单击EXE直接运行它。PHP的默认版本是php5.4.45版本,然后在本地打开它,并使用划痕工具检测当前数据包。GET/safe.phpHTTP/1.1Host:Cache-Control:max-age=1Upgrade-Insecure-Requests:2User-Agent:Mozilla/5.0(WindowsNT6.1;WOW64)AppleWebKit/.36(Chrome/63.0..Safari/.36Accept:Accept-Language:zh-CN,zh;q=0.6Accept-Encoding:gzipAccept-Charset:=cGhwaW5mbyUyOCUyOSUzQg==)连接的执行位置:关闭漏洞位于数据包的接受字符集中,其中恶意代码加密的phpinfo被写入并提交到过去,并且执行phpinfo语句。关于phpStudy漏洞的修复方法,请从phpStudy官方网站下载最新版本,将php_xmlrpc.dll替换为旧版本,过滤并验证PHPAccept-charset的参数传输,以防止提交恶意参数,禁止代码传输,并修复此漏洞。(事实证明,phpStudy的后门正式宣布,黑客入侵官方网站之前,后门已经篡改了这个包。强烈鄙视黑客的行为如果你对代码不太了解,你也可以找到一个专业的网站安全公司来处理和解决,国内SINESAFE,启蒙明星,绿色联盟比较好,目前,该漏洞有广泛的影响,请尽快修复漏洞,修补,防止网站受到攻击、篡改。
转载请注明:http://www.aierlanlan.com/rzgz/7306.html
