服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - 服务器安全 - PHP环境一键安装包PhpStudy爆发高风险后门

PHP环境一键安装包PhpStudy爆发高风险后门

2019-09-25 11:32阿里云官网 服务器安全

近日,阿里云应急响应中心监测到国内知名 PHP环境一键安装包 PhpStudy 遭黑客篡改,其Windows版本自带的php_xmlrpc.dll模块被植入 后门 。攻击者在请求中构造特定字符串,可实现远程命令执行,控

PHP环境一键安装包PhpStudy爆发高风险后门

近日,阿里云应急响应中心监测到国内知名PHP环境一键安装包PhpStudy”遭黑客篡改,其Windows版本自带的php_xmlrpc.dll模块被植入后门。攻击者在请求中构造特定字符串,可实现远程命令执行,控制服务器。

漏洞描述

黑客通过篡改php_xmlrpc.dll模块,导致用户的请求均会经过特定的后门函数。当满足一定条件时,黑客可以通过自定义头部实现任意代码执行,在用户无感知的情况下窃取用户数据。

影响版本

PhpStudy多个Windows版本被植入后门

安全建议

1. 用户通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门,后门文件包括phpphp-5.4.45extphp_xmlrpc.dll 和 phpphp-5.2.17extphp_xmlrpc.dll 等。若存在请及时卸载后门程序并排查。

2. 关注PhpStudy官方安全公告,尽量在官网进行下载和更新。

相关链接

https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g

http://www.zzvips.com/soft/14664.html (phpstudy官方发布的修复检测工具)

延伸 · 阅读

精彩推荐