phpStudy后门如何检测和修复-创新互联
原文:http://soft.antted.com/news/8
为台江等地区用户提供了全套网页设计制作服务,及台江网站建设行业解决方案。主营业务为网站建设、网站制作、台江网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!
背景
一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。
来自文章的原话:”据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用***手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。“
技术上来讲,是篡改了 phpStudy 的扩展库,我们从安装包(md5=fc44101432b8c3a5140fcb18284d2797)检测到的植入后门的 dll 为下面三个(其他安装包可能有不同):
- PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll
植入的后门主要是可以直接执行远程代码,危害极大,具体可参考《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》。
修复dll漏洞
此次的安全事故修复起来相对比较麻烦,因为不知道已遭受后门的网站已经泄露了什么,因为该后门能做的事情总结起来就一句话:什么都能干。
既然安全事故已经发生,我们还是需要尽力补救。
phpStudy在第一时间已经在官网给出了漏洞检测和修复工具,可以直接下载,这个点个小心心。
顺便说一下:注意看左下角点击下载的下载链接,不知道PHPStudy的官网小编有多粗心,下载文件的名称为:phsptudy 安全自检修复程序.exe ,phpStudy 都没拼对 T_T (2019年9月22日截图)
下载完成之后,按照软件的提示,选择安装目录,然后开始检测,这样即可修复软件本身的dll漏洞。
使用软件检测修复之后,我们对比了一下系统,发现更新了这三个dll文件,应该就是被恶意篡改的文件。
网站易造成的漏洞排查
上面一个步骤只是修复了软件本身的漏洞,但是其实你并不能知道,你的网站是否已经被留有后门,如果已经被留有后门,我们应尽可能的找出来。
使用工具
比如推荐《D盾_防火墙》,对你的网站文件目录进行检查,排除一些常见的漏洞问题。
人工检查
第二步就需要靠经验,如果使用的是开源系统,可以和最原始的网站源代码做对比,可自行找一下diff内容对比工具。
这一步我们只是尽可能的找出已发现的问题,并没有通用的方案一定能找出所有问题,所以需要在日常持续观察异常情况。
安全修补
为了减少系统已产生的后门带来的危险,可以继续做以下工作:
- 不需要对外开放的端口同一关闭,或者做IP访问限制,防止已有后门继续和外界保持通讯
- 对于所有访问请求的URL进行记录(可以通过Apache或nginx访问日志记录),定期分析所有的请求是否有异常情况
教训
多少次的安全事故提醒我们对待技术要有一颗敬畏之心,Antted 在遇到安全问题是能第一时间响应,一直致力于为大家提供一个最安全的网站系统。
参考
- 《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》:https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfXm1A4GrQ
- 《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》:https://www.anquanke.com/post/id/187152
另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。
分享名称:phpStudy后门如何检测和修复-创新互联
网页地址:http://pwwzsj.com/article/pghoc.html