近日,阿里云應急響應中心監測到國內知名PHP環境一鍵安裝包“PhpStudy”遭黑客篡改,其Windows版本自帶的php_xmlrpc.dll模塊被植入后門。攻擊者在請求中構造特定字符串,可實現遠程命令執行,控制服務器。
漏洞描述
黑客通過篡改php_xmlrpc.dll模塊,導致用戶的請求均會經過特定的后門函數。當滿足一定條件時,黑客可以通過自定義頭部實現任意代碼執行,在用戶無感知的情況下竊取用戶數據。
影響版本
PhpStudy多個Windows版本被植入后門
安全建議
1. 用戶通過搜索php_xmlrpc.dll模塊中是否包含“eval”等關鍵字來定位是否存在后門,后門文件包括phpphp-5.4.45extphp_xmlrpc.dll 和 phpphp-5.2.17extphp_xmlrpc.dll 等。若存在請及時卸載后門程序并排查。
2. 關注PhpStudy官方安全公告,盡量在官網進行下載和更新。
相關鏈接
https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g
http://www.ythuaji.com.cn/soft/14664.html (phpstudy官方發布的修復檢測工具)
