使用PhpStudy的朋友你还好吗?附官网补丁下载。

vps运维 God 3个月前 (09-23) 83次浏览 已收录 0个评论

phpStudy是一个PHP调试环境的程序集成包。集成了Apache+MySQL+PHP+phpMyAdmin+ZendOptimizer最新的程序包,一键傻瓜化安装,无须配置即可使用,是非常好用、方便的PHP调试环境。该程序不仅包括PHP调试环境,还包括了开发手册、开发工具等。

因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。

据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。

据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。

从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传,大量中招的电脑沦为“肉鸡”执行危险命令。

被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的php5.4版本,而是在PhpStudy2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的PHP5.2、PHP5.3和PHP5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。


(部分shellcode)经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门
使用PhpStudy的朋友你还好吗?附官网补丁下载。
(解压后的shellcode)最终的后门请求C&C地址,执行由C&C返回的内容,目前该地址已无法正常连接。
使用PhpStudy的朋友你还好吗?附官网补丁下载。
(后门代码示意图)
      在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。

1、官网补丁直达,及时下载安装官方的phsptudy 安全自检修复程序,能有效修复并清除PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
 2、请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
 3、不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网下载最新版PhpStudy安装包进行更新,


主机指南 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:使用PhpStudy的朋友你还好吗?附官网补丁下载。
喜欢 (0)

文章评论已关闭!