【安全预警】PHP调试环境集成程序包Phpstudy后门高风险预警
摘要:
尊敬的腾讯云客户, 您好:
近日,腾讯云安全中心监测到近日知名PHP调试环境的程序集成包 Phpstudy 被爆 php_xmlrpc.dll 模块存在隐藏后门,攻击者可利用该后门进行远程代码执行等攻击,控制服务器。
为避免您的业务受影响,腾讯云安全中心建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。
【漏洞详情】
PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用。
近日,该环境集成程序包被公告疑似遭遇黑客攻击,程序包自带的\ext\php_xmlrpc.dll模块被植入隐藏后门,攻击者可利用后门通道远程执行恶意脚本,非法获取用户数据。
【风险等级】
高风险
【漏洞风险】
攻击者可构造特定字符串实现远程命令执行,控制服务器。
【影响版本】
已知受影响Windows版本如下:
Phpstudy 2016版 php-5.4
Phpstudy 2018版 php-5.2.17
Phpstudy 2018版 php-5.4.45
【检查方法】
用户可进入PhpStudy目录,通过检查 php_xm lrpc.dll 文件中是否包含“eval”关键字判断是否是存在后门的版本,可直接打开文件或使用findstr命令进行查找:
findstr /m /s /c:"eval" *.*
【修复建议】
1)修改所有可能泄露的服务器密码、应用系统等密码:该后门文件具有控制计算机的功能,为避免被黑客利用获取到的信息进行二次入侵,建议检查系统涉及的密码信息并进行全部修改;
2)备份网站数据文件,删除受影响的PhpStudy,并下载官网最新版本进行部署:官网已于2019年1月针对被篡改的下载源进行了修复,新版本不受影响。
【备注】:建议您在安装新版本前做好数据备份工作,避免出现意外
【漏洞参考】
1)官方地址:https://www.xp.cn/