https phpstudy_phpstudy隐藏后门

phpstudy隐藏后门

一：漏洞危害

phpstudy存在后门，影响版本phpStudy2016、phpStudy2018。如果后门存在，可能导致服务器或主机被上传shell。

二：检测方法

通过分析，后门代码存在于extphp_xmlrpc.dll模块中phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45

phpStudy2016路径

phpphp-5.2.17extphp_xmlrpc.dll

phpphp-5.4.45extphp_xmlrpc.dll

phpStudy2018路径

PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll

PHPTutorialphpphp-5.4.45extphp_xmlrpc.dl

用记事本打开此文件查找@eval，文件存在@eval(%s(‘%s’))证明漏洞存在

三：修复方案

1）对服务器进项全盘查杀,检查web程序是否存在后门和Webshell，检查操作系统是否有隐藏的账号以及后门

2) 可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本，替换其中的php_xmlrpc.dll，下载地址：https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.ziphttps://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip

3）目前phpstudy官网上的版本不存在后门，可在phpsudy官网下载安装包进行更新