程序员要当心 PhpStudy被曝植入“后门”
近日,国内知名PHP调试环境程序集成包PhpStudy软件被曝遭到黑客篡改并植入后门,该事件引起广泛关注,亚信安全也对此进行了跟踪和调查,亚信安全专家在PhpStudy 2016和2018两个版本中同时发现了后门文件,该后门位于PhpStudy安装目录中php-gt;ext中的php_xmlrpc.dll文件 。目前,网络上仍有超过1500个后门的php_xmlrpc.dll文件,这些后门嵌入的phpStudy软件通常隐藏在软件下载站点和博客中 。亚信安全将这些被篡改后门文件命名为Backdoor.Win32.PHPSTUD.A 。
详细分析
通过查看该库文件的字符串,安全专家发现其中包含了可疑的eval字符串 。
该字符串的函数通过调用PHP函数gzuncompress解冻相关的shellcode数据 。同时,安全专家检查了该文件的数据节区,发现有加密的文字串 。
通过进一步分析,该函数解冻的shellcode保管在C028到C66C之间 。
部分shellcode硬码 。
shellcode后门分析
安全专家进一步处理shellocde,将相关数据dump放入新文件,然后利用python格式化字符串,在php中利用gzuncompress函数解压 。
解压后的shellcode如下图所示,是通过base64编码的脚本 。
【程序员要当心 PhpStudy被曝植入“后门”】Base64解密后的脚本内容如下,链接后门进行GET请求 。
事件追踪
亚信安全通过对多个版本文件的分析,发现安全专家篡改的后门主要出现在php-5.2.17和php-5.4.45版本中 。
安全专家也分析了没有篡改的php_xmlrpc.dll文件,发现该文件中没有eval等可疑的文字串 。
正常文件
被篡改的文件
亚信安全教授如何防止
现在PhpStudy官方的最新版本中没有后门,请在官方网站上下载最新版本的软件
从正规网站下载软件
推荐阅读
- 职场人际交往的七大要不得心理
- 白领过年要放轻松 千万别让“情绪病”找上门
- 苦瓜需要用盐抓吗
- 苦瓜需要去瓤吗
- 结婚遇到下雨天会有什么问题?要怎么应对
- 婆媳见第一面注意事项 上门媳妇要留心
- 茶分为哪六大类
- 女人要多吃几款防晒的食物
- 印章分为哪几类
- 春季养生要吃什么?春季吃什么能清理肠胃?