近日,国内知名PHP调试环境程序集成包“PhpStudy软件”被曝遭到黑客篡改并植入“后门”,该事件引起广泛关注,亚信安全也对此进行了跟踪和调查,亚信安全专家在PhpStudy 2016和2018两个版本中同时发现了“后门”文件,该“后门”位于PhpStudy安装目录中php->ext中的php_xmlrpc.dll文件。目前,网络中仍然有超过1500个存在“后门”的php_xmlrpc.dll文件,这些被植入后门的PhpStudy软件通常隐藏在软件下载站点和博客中。亚信安全将这些被篡改的后门文件命名为Backdoor.Win32.PHPSTUD.A。

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

详细分析

php_xmlrpc.dll文件分析

通过查看该库文件的字符串,安全专家发现其包含了可疑的eval字符串。

该字符串所在的函数中通过调用PHP函数gzuncompress来解压相关shellcode数据。同时安全专家查看该文件的数据节区,也发现存在一些加密的字符串。

通过进一步的分析,该函数解压的shellcode是存放在C028到C66C区间内。

 

部分的shellcode硬编码。

Shellcode后门分析

安全专家对其shellocde进一步处理,先将相关数据dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函数解压。

解压后的shellcode如下图所示,是通过base64编码的脚本。

Base64解密后的脚本内容如下,链接后门进行GET请求。

事件追踪

亚信安全通过对多个版本文件的分析,安全专家发现被篡改的后门主要出现在php-5.2.17和php-5.4.45版本中。

安全专家同样对没有被篡改的php_xmlrpc.dll文件进行分析,发现此文件中并没有eval等可疑的字符串调用。

正常文件

 

被篡改的文件

亚信安全教你如何防范

目前PhpStudy官方的最新版本中不存在此后门,请到官方网站下载更新最新版本软件;

从正规网站下载软件;

采用高强度的密码,避免使用弱口令密码,并定期更换密码;

亚信安全解决方案

亚信安全病毒码版本15.383.60,云病毒码版本15.383.71,全球码版本15.383.00已经可以检测,请用户及时升级病毒码版本。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
【数字匠人】鹰硕集团陈东明:聚焦“东数西算”,构建国产化算力生态
2025-10-20 14:01:01
深海、大坝、草原…走进中国“算电协同”五大场景
2025-10-20 13:30:00
IDC圈企业俱乐部携手会员单位共参数字贸易博览会&云栖大会,同筑AI基础设施底座
2025-10-17 17:10:20
宁夏银川闽宁双智算中心主体结构封顶 一期算力达2000P
2025-10-17 16:56:07
奖项申报丨2025中国IDC产业年度评选正式启动
2025-10-17 10:07:47
从“中国智造”到“东南亚范式”:曙光数创液冷技术的本地化创新之路
2025-10-16 18:13:32
数据港总裁王信菁:算力的价值,在“绿色”中见真章
2025-10-16 09:25:00
1.44E算力 全球首个生产级GB300 NVL72超算集群正式上线
2025-10-16 09:18:12
投资46.8亿,蒙能1100MW风电光伏一体化一期(一标段)正式开工!
2025-10-16 09:10:44
预计投资91亿美元 字节跳动巴西数据中心即将开工
2025-10-15 17:53:52
投资7.92亿,3900张国产芯片 甘孜州绿色智算项目开工
2025-10-15 16:59:39
上海市智能终端产业高质量发展行动方案 (2026-2027年)
2025-10-15 11:56:42
“航空智脑”的“护身法宝”:维谛技术(Vertiv)让机场节能效率突破临界点
2025-10-15 10:45:00
存量0.3779元/kWh!河南“136号文”承接方案征求意见
2025-10-14 13:55:26
总投资158亿,杭钢与阿里合作的浙江云计算数据中心南区项目即将动工
2025-10-14 13:53:47