【漏洞通告】PhpStudy后门供应链攻击事件

漏洞描述

PhpStudy软件是国内的一款免费的PHP调试环境的程序集成包,通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接安装使用,具有PHP环境调试和PHP开发功能,在国内有着近百万PHP语言学习者、开发者用户。

近日,杭州公安报道了一起重大安全事件,杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果,其中涉及犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用黑客手段非法侵入了PhpStudy软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现,可能影响数十万的PhpStudy软件安装实例。

目前已确认绝大多数后门位于PhpStudy目录下的“php\php-*\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。禹宏信安建议用户到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。

漏洞编号

漏洞危害

被植入的后门代码不仅会连接远端的C&C服务器获取代码执行,甚至还允许在C&C服务器失效的情况下使攻击者无需任何用户验证提交命令远程被服务器执行。由于可能存在后门的软件的巨大部署量,造成非常现实的威胁,攻击者或了解命令执行细节的恶意人员甚至可能利用此后执行蠕虫式的传播攻击。

漏洞等级

高危
受影响版本

经监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。

修复方案

  1. 下载安装最新版360安全卫士https://dl.360safe.com/instbeta.exe,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
  2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
  3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。

自查方法

  1. phpstudy的默认安装路径:C:\phpStudy。
  2. 在相对路径下:C:\phpStudy\PHPTutorial\php\php-*\ext,把所有dll文件取出来,匹配文件中查找是否包含“@eval(”字符串,如果有的话则受后门影响。
  3. 可以用如下Yara规则对文件进行扫描:

rule PhpStudyGhost

{

meta:

filetype=”Ghost”

description=”PhpStudyGhost ”

strings:

$a1 = “@eval(%s(‘%s’));”

condition:

any of ($a*)

}