phpStudy后門如何檢測和修復

原文：http://soft.antted.com/news/8

背景

一篇《Phpstudy官網于2016年被入*，犯罪分子篡改軟件并植入后門》讓人觸目驚心，從官網的下載官方安裝包也會有問題，由此可想而知目前已經有多少網站已經淪陷。接到消息的第一時間，我們對以前從官網下載的一個安裝包 phpStudySetup.exe 進行了檢測，發現 md5=fc44101432b8c3a5140fcb18284d2797，果然也已經在涉及漏洞的列表中。

來自文章的原話：”據主要犯罪嫌疑人馬某供述，其于2016年編寫了“后門”，使用***手段非法侵入了軟件官網，篡改了軟件安裝包內容。該“后門”無法被殺毒軟件掃描刪除，并且藏匿于軟件某功能性代碼中，極難被發現。“

技術上來講，是篡改了 phpStudy 的擴展庫，我們從安裝包（md5=fc44101432b8c3a5140fcb18284d2797）檢測到的植入后門的 dll 為下面三個（其他安裝包可能有不同）：

• PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll

植入的后門主要是可以直接執行遠程代碼，危害極大，具體可參考《數十萬PhpStudy用戶被植入后門，快來檢測你是否已淪為“肉雞”！》。

修復dll漏洞

此次的安全事故修復起來相對比較麻煩，因為不知道已遭受后門的網站已經泄露了什么，因為該后門能做的事情總結起來就一句話：什么都能干。

既然安全事故已經發生，我們還是需要盡力補救。

phpStudy在第一時間已經在官網給出了漏洞檢測和修復工具，可以直接下載，這個點個小心心。

順便說一下：注意看左下角點擊下載的下載鏈接，不知道PHPStudy的官網小編有多粗心，下載文件的名稱為：phsptudy 安全自檢修復程序.exe ，phpStudy 都沒拼對 T_T （2019年9月22日截圖）

下載完成之后，按照軟件的提示，選擇安裝目錄，然后開始檢測，這樣即可修復軟件本身的dll漏洞。

使用軟件檢測修復之后，我們對比了一下系統，發現更新了這三個dll文件，應該就是被惡意篡改的文件。

網站易造成的漏洞排查

上面一個步驟只是修復了軟件本身的漏洞，但是其實你并不能知道，你的網站是否已經被留有后門，如果已經被留有后門，我們應盡可能的找出來。

使用工具

比如推薦《D盾_防火墻》，對你的網站文件目錄進行檢查，排除一些常見的漏洞問題。

人工檢查

第二步就需要靠經驗，如果使用的是開源系統，可以和最原始的網站源代碼做對比，可自行找一下diff內容對比工具。

這一步我們只是盡可能的找出已發現的問題，并沒有通用的方案一定能找出所有問題，所以需要在日常持續觀察異常情況。

安全修補

為了減少系統已產生的后門帶來的危險，可以繼續做以下工作：

• 不需要對外開放的端口同一關閉，或者做IP訪問限制，防止已有后門繼續和外界保持通訊
• 對于所有訪問請求的URL進行記錄（可以通過Apache或nginx訪問日志記錄），定期分析所有的請求是否有異常情況

教訓

多少次的安全事故提醒我們對待技術要有一顆敬畏之心，Antted 在遇到安全問題是能第一時間響應，一直致力于為大家提供一個最安全的網站系統。

參考

• 《數十萬PhpStudy用戶被植入后門，快來檢測你是否已淪為“肉雞”！》：https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfXm1A4GrQ
• 《Phpstudy官網于2016年被入*，犯罪分子篡改軟件并植入后門》：https://www.anquanke.com/post/id/187152