• 2022-09-04被罚款200元记6分.
  • 特么的.电脑风扇坏了.快递还全部停发.太难了...求求了.疫情赶紧走吧.
  • 难啊难!要钱难!
  • 更新到WordPress5.6啦
  • 有点伤心了,今年净遇到王某海这种人.
  • 难啊难...
  • 七牛的JS SDK 的文档真坑啊.
  • 蓝奏云分享部分地区无法访问需手动修改www.lanzous.com变为:www.lanzoux.com
  • 好气啊~原来使用的CDN服务商莫名其妙的给我服务取消了~
  • 遇见一个沙雕汽车人.

震精!PHPstudy被爆"官方"后门.本分附带查杀工具.

PHP KIENG 5年前 (2019-09-23) 141844次浏览 已收录 0个吐槽 扫描二维码

震精!PHPstudy 被爆

前言

2019.9.20 得知非官网的一些下载站中的 phpstudy 版本存在后门文件 说是官网下的就没有后门

PHPstudy是干嘛的我就不说了...自己百度一下...我用PHPstudy基本都是本地调试用.比 wamp 方便一些.

过程

确认绝大多数后门位于 PhpStudy 目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的 PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。

震精!PHPstudy 被爆

“eval”字符串所在的这段代码通过 PHP 函数gzuncompress解压位于偏移0xd0280xd66c处的shellcode并执行。
(解压 shellcode 并执行)
震精!PHPstudy 被爆
(部分 shellcode)
震精!PHPstudy 被爆

经过解压之后的 shellcode 如下图所示,shellcode 中经过编码的内容即为最终的后门
震精!PHPstudy 被爆

最终的后门请求 C&C 地址 360se.net,执行由 C&C 返回的内容,目前该地址已无法正常连接。
(后门代码示意图)
震精!PHPstudy 被爆

  1. 附录:部分 IOCs
  2.  
  3. 被篡改的 php_xmlrpc.dll
  4.  
  5. c339482fd2b233fb0a555b629c0ea5d5
  6.  
  7. 0f7ad38e7a9857523dfbce4bce43a9e9
  8.  
  9. 8c9e30239ec3784bb26e58e8f4211ed0
  10.  
  11. e252e32a8873aabf33731e8eb90c08df
  12.  
  13. 9916dc74b4e9eb076fa5fcf96e3b8a9c
  14.  
  15. f3bc871d021a5b29ecc7ec813ecec244
  16.  
  17. 9756003495e3bb190bd4a8cde2c31f2e
  18.  
  19. d7444e467cb6dc287c791c0728708bfd
  20.  
  21. 2018 PhpStudy 安装程序
  22.  
  23. md5: fc44101432b8c3a5140fcb18284d2797
  24.  
  25. 2016 PhpStudy 安装程序
  26.  
  27. md5: a63ab7adb020a76f34b053db310be2e9
  28.  
  29. md50d3c20d8789347a04640d440abe0729d
  30.  
  31. URL
  32.  
  33. hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
  34.  
  35. hxxps://www.xp.cn/PhpStudy/PhpStudy20161103.zip
  36.  
  37. hxxps://www.xp.cn/PhpStudy/PhpStudy20180211.zip
  38.  
  39. CC:
  40.  
  41. www.360se.net:20123
  42.  
  43. www.360se.net:40125
  44.  
  45. www.360se.net:8080
  46.  
  47. www.360se.net:80
  48.  
  49. www.360se.net:53
  50.  
  51. bbs.360se.net:20123
  52.  
  53. bbs.360se.net:40125
  54.  
  55. bbs.360se.net:8080
  56.  
  57. bbs.360se.net:80
  58.  
  59. bbs.360se.net:53
  60.  
  61. cms.360se.net:20123
  62.  
  63. cms.360se.net:40125
  64.  
  65. cms.360se.net:8080
  66.  
  67. cms.360se.net:80
  68.  
  69. cms.360se.net:53
  70.  
  71. down.360se.net:20123
  72.  
  73. down.360se.net:40125
  74.  
  75. down.360se.net:8080
  76.  
  77. down.360se.net:80
  78.  
  79. down.360se.net:53
  80.  
  81. up.360se.net:20123
  82.  
  83. up.360se.net:40125
  84.  
  85. up.360se.net:8080
  86.  
  87. up.360se.net:80
  88.  
  89. up.360se.net:53
  90.  
  91. file.360se.net:20123
  92.  
  93. file.360se.net:40125
  94.  
  95. file.360se.net:8080
  96.  
  97. file.360se.net:80
  98.  
  99. file.360se.net:53
  100.  
  101. ftp.360se.net:20123
  102.  
  103. ftp.360se.net:40125
  104.  
  105. ftp.360se.net:8080
  106.  
  107. ftp.360se.net:80
  108.  
  109. ftp.360se.net:53

解决方案

1.360 已支持查杀(https://dl.360safe.com/instbeta.exe)

2. 从官方网站下载(https://www.xp.cn/)

官网发布的检查是否中招:

自检修复程序

本人没啥事
震精!PHPstudy 被爆

说说

新闻:近百万 PHP 用户中超过 67 万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达 10 万多组,非法牟利 600 多万元。

被弄成肉鸡好惨...大家下载软件的时候最好去官网吧...


KIENG.CN , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA 4.0协议进行授权
转载请注明出处:震精!PHPstudy 被爆"官方"后门.本分附带查杀工具.
本文章链接:https://blog.kieng.cn/1695.html
喜欢 (6)
KIENG
关于作者:
一个热衷网络的Man
发表我的评论
取消评论
表情 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 快速获取昵称
  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址