1.事件背景

Phpstudy軟件是國內(nèi)的一款免費(fèi)的PHP調(diào)試環(huán)境的程序集成包，通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝，無需配置即可直接安裝使用，具有PHP環(huán)境調(diào)試和PHP開發(fā)功能，在國內(nèi)有著近百萬PHP語言學(xué)習(xí)者、開發(fā)者用戶

北京時(shí)間9月20日，杭州公安發(fā)布《杭州警方通報(bào)打擊涉網(wǎng)違法犯罪暨‘凈網(wǎng)2019’專項(xiàng)行動(dòng)戰(zhàn)果》一文，文章曝光了國內(nèi)知名PHP調(diào)試環(huán)境程序集成包“PhpStudy軟件”遭到黑客篡改并植入“后門”。截至案發(fā)，近百萬PHP用戶中超過67萬用戶已被黑客控制，并大肆盜取賬號(hào)密碼、聊天記錄、設(shè)備碼類等敏感數(shù)據(jù)多達(dá)10萬多組，非法牟利600多萬元。

2.影響版本

軟件作者聲明phpstudy 2016版PHP5.4存在后門。

實(shí)際測(cè)試官網(wǎng)下載phpstudy2018版php-5.2.17和php-5.4.45也同樣存在后門

3.后門檢測(cè)方法

通過分析，后門代碼存在于\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl

用記事本打開此文件查找@eval，文件存在@eval(%s(‘%s’))證明漏洞存在

附后門文件MD5值：

MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5

3.修復(fù)方法

1）對(duì)服務(wù)器進(jìn)項(xiàng)全盤查殺,檢查web程序是否存在后門和Webshell，檢查操作系統(tǒng)是否有隱藏的賬號(hào)以及后門

2) 可以從PHP官網(wǎng)下載原始php-5.4.45版本或php-5.2.17版本，替換其中的php_xmlrpc.dll，下載地址：
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

3）目前phpstudy官網(wǎng)上的版本不存在后門，可在phpsudy官網(wǎng)下載安裝包進(jìn)行更新