打开微信扫一扫
近日,使用广泛的 PHP 环境集成程序包 phpStudy 被公告疑似遭遇供应链攻击,程序包自带 PHP 的 php_xmlrpc.dll 模块隐藏有后门,安恒应急响应中心和研究院随即对国内下载站点提供下载的 phpStudy 安装包进行分析,确认 phpStudy2016 、 phpStudy2018 的部分版本有后门,建议使用该版本的用户立即进行安全加固处理。
【影响范围】
目前测试发现 phpStudy2016 和 phpStudy2018 版本存在后门, IOC :
0f7ad38e7a9857523dfbce4bce43a9e9
c339482fd2b233fb0a555b629c0ea5d5
360se[.]net
用户可以通过搜索 php_xmlrpc.dll 模块中包含“ @eval ”关键字快速判断是否是存在后门的版本,命令参考:
findstr /m /s /c:@eval *.*
【修复建议】
phpStudy 启动时默认加载 php 5.4.45 版本的 PHP ,该版本存在后门,可以从 PHP 官网下载原始 php 5.4.45 版本或 php 5.2.17 版本,替换其中的 php_xmlrpc.dll ,下载地址:
https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip