溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶(hù)服務(wù)條款》

phpStudy后門(mén)如何檢測(cè)和修復(fù)

發(fā)布時(shí)間:2020-06-01 21:23:32 來(lái)源:網(wǎng)絡(luò) 閱讀:1439 作者:antted 欄目:web開(kāi)發(fā)

原文:http://soft.antted.com/news/8

背景

一篇《Phpstudy官網(wǎng)于2016年被入*,犯罪分子篡改軟件并植入后門(mén)》讓人觸目驚心,從官網(wǎng)的下載官方安裝包也會(huì)有問(wèn)題,由此可想而知目前已經(jīng)有多少網(wǎng)站已經(jīng)淪陷。接到消息的第一時(shí)間,我們對(duì)以前從官網(wǎng)下載的一個(gè)安裝包 phpStudySetup.exe 進(jìn)行了檢測(cè),發(fā)現(xiàn) md5=fc44101432b8c3a5140fcb18284d2797,果然也已經(jīng)在涉及漏洞的列表中。

來(lái)自文章的原話(huà):”據(jù)主要犯罪嫌疑人馬某供述,其于2016年編寫(xiě)了“后門(mén)”,使用***手段非法侵入了軟件官網(wǎng),篡改了軟件安裝包內(nèi)容。該“后門(mén)”無(wú)法被殺毒軟件掃描刪除,并且藏匿于軟件某功能性代碼中,極難被發(fā)現(xiàn)?!?/p>

技術(shù)上來(lái)講,是篡改了 phpStudy 的擴(kuò)展庫(kù),我們從安裝包(md5=fc44101432b8c3a5140fcb18284d2797)檢測(cè)到的植入后門(mén)的 dll 為下面三個(gè)(其他安裝包可能有不同):

  • PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
  • PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
  • PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll

植入的后門(mén)主要是可以直接執(zhí)行遠(yuǎn)程代碼,危害極大,具體可參考《數(shù)十萬(wàn)PhpStudy用戶(hù)被植入后門(mén),快來(lái)檢測(cè)你是否已淪為“肉雞”!》。

修復(fù)dll漏洞

此次的安全事故修復(fù)起來(lái)相對(duì)比較麻煩,因?yàn)椴恢酪言馐芎箝T(mén)的網(wǎng)站已經(jīng)泄露了什么,因?yàn)樵摵箝T(mén)能做的事情總結(jié)起來(lái)就一句話(huà):什么都能干。

既然安全事故已經(jīng)發(fā)生,我們還是需要盡力補(bǔ)救。

phpStudy在第一時(shí)間已經(jīng)在官網(wǎng)給出了漏洞檢測(cè)和修復(fù)工具,可以直接下載,這個(gè)點(diǎn)個(gè)小心心。

順便說(shuō)一下:注意看左下角點(diǎn)擊下載的下載鏈接,不知道PHPStudy的官網(wǎng)小編有多粗心,下載文件的名稱(chēng)為:phsptudy 安全自檢修復(fù)程序.exe ,phpStudy 都沒(méi)拼對(duì) T_T (2019年9月22日截圖)

phpStudy后門(mén)如何檢測(cè)和修復(fù)

下載完成之后,按照軟件的提示,選擇安裝目錄,然后開(kāi)始檢測(cè),這樣即可修復(fù)軟件本身的dll漏洞。

phpStudy后門(mén)如何檢測(cè)和修復(fù)

phpStudy后門(mén)如何檢測(cè)和修復(fù)

使用軟件檢測(cè)修復(fù)之后,我們對(duì)比了一下系統(tǒng),發(fā)現(xiàn)更新了這三個(gè)dll文件,應(yīng)該就是被惡意篡改的文件。

phpStudy后門(mén)如何檢測(cè)和修復(fù)

網(wǎng)站易造成的漏洞排查

上面一個(gè)步驟只是修復(fù)了軟件本身的漏洞,但是其實(shí)你并不能知道,你的網(wǎng)站是否已經(jīng)被留有后門(mén),如果已經(jīng)被留有后門(mén),我們應(yīng)盡可能的找出來(lái)。

使用工具

比如推薦《D盾_防火墻》,對(duì)你的網(wǎng)站文件目錄進(jìn)行檢查,排除一些常見(jiàn)的漏洞問(wèn)題。

人工檢查

第二步就需要靠經(jīng)驗(yàn),如果使用的是開(kāi)源系統(tǒng),可以和最原始的網(wǎng)站源代碼做對(duì)比,可自行找一下diff內(nèi)容對(duì)比工具。

這一步我們只是盡可能的找出已發(fā)現(xiàn)的問(wèn)題,并沒(méi)有通用的方案一定能找出所有問(wèn)題,所以需要在日常持續(xù)觀察異常情況。

安全修補(bǔ)

為了減少系統(tǒng)已產(chǎn)生的后門(mén)帶來(lái)的危險(xiǎn),可以繼續(xù)做以下工作:

  • 不需要對(duì)外開(kāi)放的端口同一關(guān)閉,或者做IP訪問(wèn)限制,防止已有后門(mén)繼續(xù)和外界保持通訊
  • 對(duì)于所有訪問(wèn)請(qǐng)求的URL進(jìn)行記錄(可以通過(guò)Apache或nginx訪問(wèn)日志記錄),定期分析所有的請(qǐng)求是否有異常情況

教訓(xùn)

多少次的安全事故提醒我們對(duì)待技術(shù)要有一顆敬畏之心,Antted 在遇到安全問(wèn)題是能第一時(shí)間響應(yīng),一直致力于為大家提供一個(gè)最安全的網(wǎng)站系統(tǒng)。

參考

  • 《數(shù)十萬(wàn)PhpStudy用戶(hù)被植入后門(mén),快來(lái)檢測(cè)你是否已淪為“肉雞”!》:https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfXm1A4GrQ
  • 《Phpstudy官網(wǎng)于2016年被入*,犯罪分子篡改軟件并植入后門(mén)》:https://www.anquanke.com/post/id/187152
向AI問(wèn)一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI