99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

漏洞描述

PhpStudy軟件是國內(nèi)的一款免費的PHP調(diào)試環(huán)境的程序集成包，通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝，無需配置即可直接安裝使用，具有PHP環(huán)境調(diào)試和PHP開發(fā)功能，在國內(nèi)有著近百萬PHP語言學(xué)習(xí)者、開發(fā)者用戶。

近日，杭州公安報道了一起重大安全事件，杭州警方通報打擊涉網(wǎng)違法犯罪暨“凈網(wǎng)2019”專項行動戰(zhàn)果，其中涉及犯罪嫌疑人馬某供述，其于2016年編寫了“后門”，使用黑客手段非法侵入了PhpStudy軟件官網(wǎng)，篡改了軟件安裝包內(nèi)容。該“后門”無法被殺毒軟件掃描刪除，并且藏匿于軟件某功能性代碼中，極難被發(fā)現(xiàn)，可能影響數(shù)十萬的PhpStudy軟件安裝實例。

目前已確認(rèn)絕大多數(shù)后門位于PhpStudy目錄下的“php\php-*\ext\php_xmlrpc.dll”文件中。通過查看字符串可以發(fā)現(xiàn)文件中出現(xiàn)了可疑的“eval”字符串。禹宏信安建議用戶到PhpStudy官網(wǎng)https://www.xp.cn/下載最新版PhpStudy安裝包進行更新，以防中招。

漏洞編號

無

漏洞危害

被植入的后門代碼不僅會連接遠(yuǎn)端的C&C服務(wù)器獲取代碼執(zhí)行，甚至還允許在C&C服務(wù)器失效的情況下使攻擊者無需任何用戶驗證提交命令遠(yuǎn)程被服務(wù)器執(zhí)行。由于可能存在后門的軟件的巨大部署量，造成非?，F(xiàn)實的威脅，攻擊者或了解命令執(zhí)行細(xì)節(jié)的惡意人員甚至可能利用此后執(zhí)行蠕蟲式的傳播攻擊。

漏洞等級

高危
受影響版本

經(jīng)監(jiān)測發(fā)現(xiàn)，被篡改的軟件版本并不單單是官方通告的PhpStudy2016版本中的Php5.4版本，而是在PhpStudy 2016版和2018版兩個版本中均同時被發(fā)現(xiàn)有“后門”文件的存在，并且影響部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4環(huán)境。

修復(fù)方案

1. 下載安裝最新版360安全衛(wèi)士https://dl.360safe.com/instbeta.exe，能有效清除并修復(fù)PhpStudy安裝目錄下的“后門”文件，全面保護個人信息及財產(chǎn)安全；
2. 請及時修改服務(wù)器密碼，其他使用相同注冊郵箱和密碼的網(wǎng)絡(luò)帳戶也應(yīng)該一并修改，消除風(fēng)險；
3. 不要隨意下載，接收和運行不明來源的文件，盡量到PhpStudy官https://www.xp.cn/下載最新版PhpStudy安裝包進行更新，以防中招。

自查方法

1. phpstudy的默認(rèn)安裝路徑：C:\phpStudy。
2. 在相對路徑下：C:\phpStudy\PHPTutorial\php\php-*\ext，把所有dll文件取出來，匹配文件中查找是否包含“@eval(”字符串，如果有的話則受后門影響。
3. 可以用如下Yara規(guī)則對文件進行掃描：

rule PhpStudyGhost

{

meta:

filetype=”Ghost”

description=”PhpStudyGhost ”

strings:

$a1 = “@eval(%s(‘%s’));”

condition:

any of ($a*)

}