phpstudy隐藏后门
一:漏洞危害
phpstudy存在后门,影响版本phpStudy2016、phpStudy2018。如果后门存在,可能导致服务器或主机被上传shell。
二:检测方法
通过分析,后门代码存在于extphp_xmlrpc.dll模块中phpStudy2016和phpStudy2018自带的php-5.2.17、php-5.4.45
phpStudy2016路径
phpphp-5.2.17extphp_xmlrpc.dll
phpphp-5.4.45extphp_xmlrpc.dll
phpStudy2018路径
PHPTutorialphpphp-5.2.17extphp_xmlrpc.dll
PHPTutorialphpphp-5.4.45extphp_xmlrpc.dl
用记事本打开此文件查找@eval,文件存在@eval(%s(‘%s’))证明漏洞存在
三:修复方案
1)对服务器进项全盘查杀,检查web程序是否存在后门和Webshell,检查操作系统是否有隐藏的账号以及后门
2) 可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本,替换其中的php_xmlrpc.dll,下载地址:https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.ziphttps://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip
3)目前phpstudy官网上的版本不存在后门,可在phpsudy官网下载安装包进行更新