事件描述
杭州公安在9月20日发布的杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。受影响的用户还是比较多的。
自查后门
在phpstudy文件中按以下目录查找\phpStudy1\php\php-5.4.45\ext\php_xmlrpc.dll文件
查找后如果发现@eval(%s(‘%s’))的字样,证明漏洞存在,如图所示
经测试发现2016版php-5.2.17、php-5.4.45版本均存在漏洞
漏洞复现
环境准备
环境:win7虚拟机+phpstudy2016版
直接使用php-5.4.45版本就可以