phpStudy隐藏后门预警:小心被植入隐藏后门,电脑服务器被沦为肉鸡

9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文中,很有爆炸,一看,握草,“PhpStudy软件”遭到黑客篡改并植入“后门”,真是防不慎防啊。

特么的,phpStudy 这个渣渣玩意,竟然被人植入后门都不知道,死猪一般。

再次真诚建议,特么的不要再使用phpstudy这个渣渣玩意。

据监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的PHP5.2、PHP5.3和PHP5.4环境。

分析过程:

对比官网的xmlrpc源代码可以知道,默认xmplrpc模块的几个初始化函数都是被设置为:

phpStudy隐藏后门预警

而污染过的版本中“request_startup_func”函数被恶意攻击者自定义:

phpStudy隐藏后门预警

用户所有的请求都会经过自定义的函数“sub_100031F0”,

进一步分析函数“sub_100031F0”,当攻击者(或普通用户?)发起的HTTP数据包中包含“Accept-Encoding“字段信息时,会进入攻击者自定的流程:

phpStudy隐藏后门预警

当Accept-Encoding字段信息为“compress,gzip”时,它会触发搜集系统信息功能,如其中函数“sub_10004380”搜集网卡信息:

phpStudy隐藏后门预警

同时会执行内存php代码:

phpStudy隐藏后门预警

DUMP出PHP进一步分析:

phpStudy隐藏后门预警

解密出Base64加密字符串:

phpStudy隐藏后门预警

通过HTTP包构造工具测试发包,成功触发访问恶意“360se[.]net”域名:

phpStudy隐藏后门预警

分析发现,当Accept-Encoding字段信息为“gzip,deflate”时,它会接着判断是否设置“Accept-Charset”字段:

phpStudy隐藏后门预警

再判断是否设定的特定的“Accept-Charset”字段,在满足特定条件以后可以执行黑客给定的php命令,实现控制服务器的目的,隐蔽性非常高。



用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,

命令参考:

findstr /m /s /c:"@eval" *.*


被篡改的php_xmlrpc.dll:

c339482fd2b233fb0a555b629c0ea5d5

0f7ad38e7a9857523dfbce4bce43a9e9

8c9e30239ec3784bb26e58e8f4211ed0

e252e32a8873aabf33731e8eb90c08df

9916dc74b4e9eb076fa5fcf96e3b8a9c

f3bc871d021a5b29ecc7ec813ecec244

9756003495e3bb190bd4a8cde2c31f2e

d7444e467cb6dc287c791c0728708bfd

2018版PhpStudy安装程序

md5: fc44101432b8c3a5140fcb18284d2797

2016版PhpStudy安装程序

md5: a63ab7adb020a76f34b053db310be2e9

md5:0d3c20d8789347a04640d440abe0729d



关键词: phpstudy隐藏后门

上一篇: 移除阿里云监控程序,保护您的隐私:AlibabaCloud-CentOS7-Pure-and-safe
下一篇: Linux/CentOS7下安装FFmpeg处理音频/视频

目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):