phpStudy后门如何检测和修复

原文：http://soft.antted.com/news/8

背景

一篇《Phpstudy官网于2016年被入*，犯罪分子篡改软件并植入后门》让人触目惊心，从官网的下载官方安装包也会有问题，由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间，我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测，发现 md5=fc44101432b8c3a5140fcb18284d2797，果然也已经在涉及漏洞的列表中。

来自文章的原话：”据主要犯罪嫌疑人马某供述，其于2016年编写了“后门”，使用***手段非法侵入了软件官网，篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除，并且藏匿于软件某功能性代码中，极难被发现。“

技术上来讲，是篡改了 phpStudy 的扩展库，我们从安装包（md5=fc44101432b8c3a5140fcb18284d2797）检测到的植入后门的 dll 为下面三个（其他安装包可能有不同）：

• PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
• PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll

植入的后门主要是可以直接执行远程代码，危害极大，具体可参考《数十万PhpStudy用户被植入后门，快来检测你是否已沦为“肉鸡”！》。

修复dll漏洞

此次的安全事故修复起来相对比较麻烦，因为不知道已遭受后门的网站已经泄露了什么，因为该后门能做的事情总结起来就一句话：什么都能干。

既然安全事故已经发生，我们还是需要尽力补救。

phpStudy在第一时间已经在官网给出了漏洞检测和修复工具，可以直接下载，这个点个小心心。

顺便说一下：注意看左下角点击下载的下载链接，不知道PHPStudy的官网小编有多粗心，下载文件的名称为：phsptudy 安全自检修复程序.exe ，phpStudy 都没拼对 T_T （2019年9月22日截图）

下载完成之后，按照软件的提示，选择安装目录，然后开始检测，这样即可修复软件本身的dll漏洞。

使用软件检测修复之后，我们对比了一下系统，发现更新了这三个dll文件，应该就是被恶意篡改的文件。

网站易造成的漏洞排查

上面一个步骤只是修复了软件本身的漏洞，但是其实你并不能知道，你的网站是否已经被留有后门，如果已经被留有后门，我们应尽可能的找出来。

使用工具

比如推荐《D盾_防火墙》，对你的网站文件目录进行检查，排除一些常见的漏洞问题。

人工检查

第二步就需要靠经验，如果使用的是开源系统，可以和最原始的网站源代码做对比，可自行找一下diff内容对比工具。

这一步我们只是尽可能的找出已发现的问题，并没有通用的方案一定能找出所有问题，所以需要在日常持续观察异常情况。

安全修补

为了减少系统已产生的后门带来的危险，可以继续做以下工作：

• 不需要对外开放的端口同一关闭，或者做IP访问限制，防止已有后门继续和外界保持通讯
• 对于所有访问请求的URL进行记录（可以通过Apache或nginx访问日志记录），定期分析所有的请求是否有异常情况

教训

多少次的安全事故提醒我们对待技术要有一颗敬畏之心，Antted 在遇到安全问题是能第一时间响应，一直致力于为大家提供一个最安全的网站系统。

参考

• 《数十万PhpStudy用户被植入后门，快来检测你是否已沦为“肉鸡”！》：https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfXm1A4GrQ
• 《Phpstudy官网于2016年被入*，犯罪分子篡改软件并植入后门》：https://www.anquanke.com/post/id/187152