phpStudy後門如何檢測和修復

原文：soft.antted.com/news/8

背景

一篇《Phpstudy官網於2016年被入侵，犯罪分子篡改軟件並植入後門》讓人觸目驚心，從官網的下載官方安裝包也會有問題，由此可想而知目前已經有多少網站已經淪陷。接到消息的第一時間，咱們對之前從官網下載的一個安裝包 phpStudySetup.exe 進行了檢測，發現 md5=fc44101432b8c3a5140fcb18284d2797，果真也已經在涉及漏洞的列表中。

來自文章的原話：」據主要犯罪嫌疑人馬某供述，其於2016年編寫了「後門」，使用黑客手段非法侵入了軟件官網，篡改了軟件安裝包內容。該「後門」沒法被殺毒軟件掃描刪除，而且藏匿於軟件某功能性代碼中，極難被發現。「

技術上來說，是篡改了 phpStudy 的擴展庫，咱們從安裝包（md5=fc44101432b8c3a5140fcb18284d2797）檢測到的植入後門的 dll 爲下面三個（其餘安裝包可能有不一樣）：

• PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll

植入的後門主要是能夠直接執行遠程代碼，危害極大，具體可參考《數十萬PhpStudy用戶被植入後門，快來檢測你是否已淪爲「肉雞」！》。

修復dll漏洞

這次的安全事故修復起來相對比較麻煩，由於不知道已遭受後門的網站已經泄露了什麼，由於該後門能作的事情總結起來就一句話：什麼都能幹。

既然安全事故已經發生，咱們仍是須要盡力補救。

phpStudy在第一時間已經在官網給出了漏洞檢測和修復工具，能夠直接下載，這個點個當心心。

順便說一下：注意看左下角點擊下載的下載連接，不知道PHPStudy的官網小編有多粗心，下載文件的名稱爲：phsptudy 安全自檢修復程序.exe ，phpStudy 都沒拼對 T_T （2019年9月22日截圖）

下載完成以後，按照軟件的提示，選擇安裝目錄，而後開始檢測，這樣便可修復軟件自己的dll漏洞。

使用軟件檢測修復以後，咱們對比了一下系統，發現更新了這三個dll文件，應該就是被惡意篡改的文件。

網站易形成的漏洞排查

上面一個步驟只是修復了軟件自己的漏洞，可是其實你並不能知道，你的網站是否已經被留有後門，若是已經被留有後門，咱們應儘量的找出來。

使用工具

好比推薦《D盾_防火牆》，對你的網站文件目錄進行檢查，排除一些常見的漏洞問題。

人工檢查

第二步就須要靠經驗，若是使用的是開源系統，能夠和最原始的網站源代碼作對比，可自行找一下diff內容對比工具。

這一步咱們只是儘量的找出已發現的問題，並無通用的方案必定能找出全部問題，因此須要在平常持續觀察異常狀況。

安全修補

爲了減小系統已產生的後門帶來的危險，能夠繼續作如下工做：

• 不須要對外開放的端口同一關閉，或者作IP訪問限制，防止已有後門繼續和外界保持通信
• 對於全部訪問請求的URL進行記錄（能夠經過Apache或nginx訪問日誌記錄），按期分析全部的請求是否有異常狀況

教訓

多少次的安全事故提醒咱們對待技術要有一顆敬畏之心，Antted 在遇到安全問題是能第一時間響應，一直致力於爲你們提供一個最安全的網站系統。

參考

• 《數十萬PhpStudy用戶被植入後門，快來檢測你是否已淪爲「肉雞」！》：mp.weixin.qq.com/s/HtJIIlCnI…
• 《Phpstudy官網於2016年被入侵，犯罪分子篡改軟件並植入後門》：www.anquanke.com/post/id/187…