當前位置:安全行業動態 → 正文

程序員要當心 PhpStudy被曝植入“后門”

責任編輯:jcao |來源:企業網D1Net  2019-09-27 11:30:04 本文摘自:企業網D1Net

近日,國內知名PHP調試環境程序集成包“PhpStudy軟件”被曝遭到黑客篡改并植入“后門”,該事件引起廣泛關注,亞信安全也對此進行了跟蹤和調查,亞信安全專家在PhpStudy 2016和2018兩個版本中同時發現了“后門”文件,該“后門”位于PhpStudy安裝目錄中php->ext中的php_xmlrpc.dll文件。目前,網絡中仍然有超過1500個存在“后門”的php_xmlrpc.dll文件,這些被植入后門的PhpStudy軟件通常隱藏在軟件下載站點和博客中。亞信安全將這些被篡改的后門文件命名為Backdoor.Win32.PHPSTUD.A。

PhpStudy軟件是國內的一款免費的PHP調試環境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環境調試和PHP開發功能,在國內有著近百萬PHP語言學習者、開發者用戶。

詳細分析

php_xmlrpc.dll文件分析

通過查看該庫文件的字符串,安全專家發現其包含了可疑的eval字符串。

 

該字符串所在的函數中通過調用PHP函數gzuncompress來解壓相關shellcode數據。同時安全專家查看該文件的數據節區,也發現存在一些加密的字符串。

通過進一步的分析,該函數解壓的shellcode是存放在C028到C66C區間內。

 

 

部分的shellcode硬編碼。

Shellcode后門分析

安全專家對其shellocde進一步處理,先將相關數據dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函數解壓。

 

 

解壓后的shellcode如下圖所示,是通過base64編碼的腳本。

 

 

Base64解密后的腳本內容如下,鏈接后門進行GET請求。

 

事件追蹤

亞信安全通過對多個版本文件的分析,安全專家發現被篡改的后門主要出現在php-5.2.17和php-5.4.45版本中。

安全專家同樣對沒有被篡改的php_xmlrpc.dll文件進行分析,發現此文件中并沒有eval等可疑的字符串調用。

正常文件

 

被篡改的文件

亞信安全教你如何防范

目前PhpStudy官方的最新版本中不存在此后門,請到官方網站下載更新最新版本軟件;

從正規網站下載軟件;

采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

亞信安全解決方案

亞信安全病毒碼版本15.383.60,云病毒碼版本15.383.71,全球碼版本15.383.00已經可以檢測,請用戶及時升級病毒碼版本。

關鍵字:安全 亞信安全

本文摘自:企業網D1Net

程序員要當心 PhpStudy被曝植入“后門” 掃一掃
分享本文到朋友圈

關于我們聯系我們版權聲明友情鏈接廣告服務會員服務投稿中心招賢納士

企業網版權所有©2010-2019 京ICP備09108050號-6

^
黄一级片