大佬教程收集整理的这篇文章主要介绍了Phpstudy被暴存在隐藏后门-检查方法,大佬教程大佬觉得挺不错的,现在分享给大家,也给大家做个参考。
一、事件背景
PHPstudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MysqL、@L_472_0@myAdmin、Zendoptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。
9月20日杭州公安微信公众账号发布了“杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果”的文章,文章里说明PHPstudy存在“后门”。
二、影响版本
PHPstudy 2016版PHP5.4存在后门(软件作者声明)。
实际实际测试官网下载PHPstudy2018版PHP-5.2.17和PHP-5.4.45也同样存在后门
三、后门检测方法
1、看官网发表声明说只要从官网下载的都不存在漏洞(套路深~~~~~~~)
2、哎呀,吓得的我赶紧查一下自己的电脑从官网下载安装的PHPstudy有没有后门。
通过分析,后门代码存在于\ext\PHP_xmlrpc.dll模块中
PHPstudy2016和PHPstudy2018自带的PHP-5.2.17、PHP-5.4.45
PHPstudy2016路径
PHP\PHP-5.2.17\ext\PHP_xmlrpc.dll
PHP\PHP-5.4.45\ext\PHP_xmlrpc.dll
PHPTutorial\PHP\PHP-5.2.17\ext\PHP_xmlrpc.dll
PHPTutorial\PHP\PHP-5.4.45\ext\PHP_xmlrpc.dl
用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在
附后门@L_538_45@mD5值:
@H_859_112@mD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
@H_859_112@mD5: C339482FD2B233FB0A555B629C0EA5D5
3、手工分析
3.1、查看PHPstudy2016 PHP 5.4.45版本中是否存在漏洞,说明存在后门
3.2、使用在线@L_261_52@md5,查看疑似后门文件的md5,发现MD5值确实是后门文件的md5值。
3.3、查看PHPstudy2016 PHP 5.2.17版本中是否存在漏洞,发现存在后门
3.4、使用在线@L_261_52@md5,查看疑似后门文件的md5,发现MD5值确实是后门文件的md5值。
3.5、查看PHPstudy2018 PHP 5.2.17版本中是否存在漏洞,说明存在后门
3.6、使用在线@L_261_52@md5,查看疑似后门文件的md5,发现MD5值确实是后门文件的md5值。(0f7ad38e7a9857523dfbce4bce43a9e9)
3.7、查看PHPstudy2018 PHP 5.4.45版本中是否存在漏洞,说明存在后门
3.8、使用在线@L_261_52@md5,查看疑似后门文件的md5,发现MD5值确实是后门文件的md5值。(c339482fd2b233fb0a555b629c0ea5d5)
四、修复方法
1、可以从PHP官网下载原始PHP-5.4.45版本或PHP-5.2.17版本,替换其中的PHP_xmlrpc.dll
https://windows.PHP.net/downloads/releases/archives/PHP-5.2.17-Win32-VC6-x86.zip
https://windows.PHP.net/downloads/releases/archives/PHP-5.4.45-Win32-VC9-x86.zip
以上是大佬教程为你收集整理的Phpstudy被暴存在隐藏后门-检查方法全部内容,希望文章能够帮你解决Phpstudy被暴存在隐藏后门-检查方法所遇到的程序开发问题。
如果觉得大佬教程网站内容还不错,欢迎将大佬教程推荐给程序员好友。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。