中文字幕在线观看,亚洲а∨天堂久久精品9966,亚洲成a人片在线观看你懂的,亚洲av成人片无码网站,亚洲国产精品无码久久久五月天

【預(yù)警】程序員要當心 PhpStudy被曝植入“后門”

2019-10-10    來源:IT運維網(wǎng)

容器云強勢上線!快速搭建集群,上萬Linux鏡像隨意使用

近日,國內(nèi)知名PHP調(diào)試環(huán)境程序集成包“PhpStudy軟件”被曝遭到黑客篡改并植入“后門”,該事件引起廣泛關(guān)注,亞信安全也對此進行了跟蹤和調(diào)查,亞信安全專家在PhpStudy 2016和2018兩個版本中同時發(fā)現(xiàn)了“后門”文件,該“后門”位于PhpStudy安裝目錄中php->ext中的php_xmlrpc.dll文件。目前,網(wǎng)絡(luò)中仍然有超過1500個存在“后門”的php_xmlrpc.dll文件,這些被植入后門的PhpStudy軟件通常隱藏在軟件下載站點和博客中。亞信安全將這些被篡改的后門文件命名為Backdoor.Win32.PHPSTUD.A。



 

PhpStudy軟件是國內(nèi)的一款免費的PHP調(diào)試環(huán)境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環(huán)境調(diào)試和PHP開發(fā)功能,在國內(nèi)有著近百萬PHP語言學(xué)習者、開發(fā)者用戶。

詳細分析

php_xmlrpc.dll文件分析

通過查看該庫文件的字符串,安全專家發(fā)現(xiàn)其包含了可疑的eval字符串。



 

該字符串所在的函數(shù)中通過調(diào)用PHP函數(shù)gzuncompress來解壓相關(guān)shellcode數(shù)據(jù)。同時安全專家查看該文件的數(shù)據(jù)節(jié)區(qū),也發(fā)現(xiàn)存在一些加密的字符串。



 

通過進一步的分析,該函數(shù)解壓的shellcode是存放在C028到C66C區(qū)間內(nèi)。

 

部分的shellcode硬編碼。



 


Shellcode后門分析

安全專家對其shellocde進一步處理,先將相關(guān)數(shù)據(jù)dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函數(shù)解壓。


解壓后的shellcode如下圖所示,是通過base64編碼的腳本。


Base64解密后的腳本內(nèi)容如下,鏈接后門進行GET請求。

事件追蹤

亞信安全通過對多個版本文件的分析,安全專家發(fā)現(xiàn)被篡改的后門主要出現(xiàn)在php-5.2.17和php-5.4.45版本中。

 
安全專家同樣對沒有被篡改的php_xmlrpc.dll文件進行分析,發(fā)現(xiàn)此文件中并沒有eval等可疑的字符串調(diào)用。
正常文件


被篡改的文件


亞信安全教你如何防范

目前PhpStudy官方的最新版本中不存在此后門,請到官方網(wǎng)站下載更新最新版本軟件;

從正規(guī)網(wǎng)站下載軟件;

采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

 
亞信安全解決方案

亞信安全病毒碼版本15.383.60,云病毒碼版本15.383.71,全球碼版本15.383.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本。

IOC

SHA-1
2ae861406a7d516b0539c409851cf7f3c8a9716a

標簽: PhpStudy 后門 

版權(quán)申明:本站文章部分自網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系:west999com@outlook.com
特別注意:本站所有轉(zhuǎn)載文章言論不代表本站觀點!
本站所提供的圖片等素材,版權(quán)歸原作者所有,如需使用,請與原作者聯(lián)系。

上一篇:泰雷茲幫助泰國增強鐵路網(wǎng)絡(luò)的安全性,覆蓋48座車站

下一篇:泰雷茲和華泰英翔助力北京大興國際機場的空管更安全、更高容、更高效