phpStudy后门如何检测和修复
原文:http://soft.antted.com/news/8
背景
一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。
来自文章的原话:”据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用***手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。“
技术上来讲,是篡改了 phpStudy 的扩展库,我们从安装包(md5=fc44101432b8c3a5140fcb18284d2797)检测到的植入后门的 dll 为下面三个(其他安装包可能有不同):
- PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll
植入的后门主要是可以直接执行远程代码,危害极大,具体可参考《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》。
修复dll漏洞
此次的安全事故修复起来相对比较麻烦,因为不知道已遭受后门的网站已经泄露了什么,因为该后门能做的事情总结起来就一句话:什么都能干。
既然安全事故已经发生,我们还是需要尽力补救。
phpStudy在第一时间已经在官网给出了漏洞检测和修复工具,可以直接下载,这个点个小心心。
顺便说一下:注意看左下角点击下载的下载链接,不知道PHPStudy的官网小编有多粗心,下载文件的名称为:phsptudy 安全自检修复程序.exe ,phpStudy 都没拼对 T_T (2019年9月22日截图)
下载完成之后,按照软件的提示,选择安装目录,然后开始检测,这样即可修复软件本身的dll漏洞。
使用软件检测修复之后,我们对比了一下系统,发现更新了这三个dll文件,应该就是被恶意篡改的文件。
网站易造成的漏洞排查
上面一个步骤只是修复了软件本身的漏洞,但是其实你并不能知道,你的网站是否已经被留有后门,如果已经被留有后门,我们应尽可能的找出来。
使用工具
比如推荐《D盾_防火墙》,对你的网站文件目录进行检查,排除一些常见的漏洞问题。
人工检查
第二步就需要靠经验,如果使用的是开源系统,可以和最原始的网站源代码做对比,可自行找一下diff内容对比工具。
这一步我们只是尽可能的找出已发现的问题,并没有通用的方案一定能找出所有问题,所以需要在日常持续观察异常情况。
安全修补
为了减少系统已产生的后门带来的危险,可以继续做以下工作:
- 不需要对外开放的端口同一关闭,或者做IP访问限制,防止已有后门继续和外界保持通讯
- 对于所有访问请求的URL进行记录(可以通过Apache或nginx访问日志记录),定期分析所有的请求是否有异常情况
教训
多少次的安全事故提醒我们对待技术要有一颗敬畏之心,Antted 在遇到安全问题是能第一时间响应,一直致力于为大家提供一个最安全的网站系统。
参考
- 《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》:https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfXm1A4GrQ
- 《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》:https://www.anquanke.com/post/id/187152