开发者

程序员要当心 PhpStudy被曝植入“后门”?

近日,国内知名PHP调试环境程序集成包PhpStudy软件被曝遭到黑客篡改并植入后门,该事件引起广泛关注,亚信安全也对此进行了跟踪和调查,亚信安全专家在PhpStudy 2016和2018两个版本中同时发现了后门文件,该后门位于PhpStudy安装目录中php-gt;ext中的php_xmlrpc.dll文件。目前,网络上仍有超过1500个后门的php_xmlrpc.dll文件,这些后门嵌入的phpStudy软件通常隐藏在软件下载站点和博客中。亚信安全将这些被篡改后门文件命名为Backdoor.Win32.PHPSTUD.A。

开发者_开发知识库详细分析

通过查看该库文件的字符串,安全专家发现其中包含了可疑的eval字符串。

该字符串的函数通过调用PHP函数gzuncompress解冻相关的shellcode数据。同时,安全专家检查了该文件的数据节区,发现有加密的文字串。

通过进一步分析,该函数解冻的shellcode保管在C028到C66C之间。

部分shellcode硬码。

shellcode后门分析

安全专家进一步处理shellocde,将相关数据dump放入新文件,然后利用python格式化字符串,在php中利用gzuncompress函数解压。

解压后的shellcode如下图所示,是通过base64编码的脚本。

Base64解密后的脚本内容如下,链接后门进行GET请求。

事件追踪

亚信安全通过对多个版本文件的分析,发现安全专家篡改的后门主要出现在php-5.2.17和php-5.4.45版本中。

安全专家也分析了没有篡改的php_xmlrpc.dll文件,发现该文件中没有eval等可疑的文字串。

正常文件

被篡改的文件

亚信安全教授如何防止

现在PhpStudy官方的最新版本中没有后门,请在官方网站上下载最新版本的软件

从正规网站下载软件

0

上一篇:

下一篇:

精彩评论

暂无评论...
验证码 换一张
取 消

最新问答

问答排行榜