【漏洞预警】phpStudy隐藏后门预警:

发布者:郭玉娇发布时间:2019-09-29浏览次数:1969

       近日,使用广泛的PHP环境集成程序包phpStudy被公告疑似遭遇供应链攻击,程序包自带PHPphp_xmlrpc.dll模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供下载的phpStudy安装包进行分析,确认phpStudy2016phpStudy2018的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。

【影响范围】

目前测试发现phpStudy2016phpStudy2018版本存在后门,IOC

0f7ad38e7a9857523dfbce4bce43a9e9

c339482fd2b233fb0a555b629c0ea5d5

360se[.]net

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本,命令参考:

findstr /m /s /c:@eval *.*

【修复建议】

phpStudy启动时默认加载php 5.4.45版本的PHP,该版本存在后门,可以从PHP官网下载原始php 5.4.45版本或php 5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip

https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

 

 

phpStudy隐藏后门预警.pdf