PhpStudy軟件是國內(nèi)的一款免費(fèi)的PHP調(diào)試環(huán)境的程序集成包,通過集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟件一次性安裝,無需配置即可直接安裝使用,具有PHP環(huán)境調(diào)試和PHP開發(fā)功能,在國內(nèi)有著近百萬PHP語言學(xué)習(xí)者、開發(fā)者用戶。
詳細(xì)分析
php_xmlrpc.dll文件分析
通過查看該庫文件的字符串,安全專家發(fā)現(xiàn)其包含了可疑的eval字符串。
該字符串所在的函數(shù)中通過調(diào)用PHP函數(shù)gzuncompress來解壓相關(guān)shellcode數(shù)據(jù)。同時(shí)安全專家查看該文件的數(shù)據(jù)節(jié)區(qū),也發(fā)現(xiàn)存在一些加密的字符串。
通過進(jìn)一步的分析,該函數(shù)解壓的shellcode是存放在C028到C66C區(qū)間內(nèi)。
部分的shellcode硬編碼。
Shellcode后門分析
安全專家對其shellocde進(jìn)一步處理,先將相關(guān)數(shù)據(jù)dump到新的文件中,然后利用python格式化字符串,在php中利用gzuncompress函數(shù)解壓。
解壓后的shellcode如下圖所示,是通過base64編碼的腳本。
Base64解密后的腳本內(nèi)容如下,鏈接后門進(jìn)行GET請求。
事件追蹤
亞信安全通過對多個(gè)版本文件的分析,安全專家發(fā)現(xiàn)被篡改的后門主要出現(xiàn)在php-5.2.17和php-5.4.45版本中。
安全專家同樣對沒有被篡改的php_xmlrpc.dll文件進(jìn)行分析,發(fā)現(xiàn)此文件中并沒有eval等可疑的字符串調(diào)用。
正常文件
被篡改的文件
亞信安全教你如何防范
目前PhpStudy官方的最新版本中不存在此后門,請到官方網(wǎng)站下載更新最新版本軟件;
從正規(guī)網(wǎng)站下載軟件;
采用高強(qiáng)度的密碼,避免使用弱口令密碼,并定期更換密碼;
亞信安全解決方案
亞信安全病毒碼版本15.383.60,云病毒碼版本15.383.71,全球碼版本15.383.00已經(jīng)可以檢測,請用戶及時(shí)升級病毒碼版本。
京公網(wǎng)安備 11010502049343號