[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
( r7 K6 k( g- t6 N1 U# Q6 P }: z8 Q[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!# `* V" w- D* X h
[color=#333333 !important] 6 [' B7 f' X/ [; Q$ l% s
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
) W* ]2 A! c) X b) q
1 v @$ M* ]: x, ^# E5 B[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。/ o8 ^; d! F8 E+ x5 k; y' {
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。4 V$ m7 x0 ^: ^) A, o* q# f
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
7 I5 F$ t% i- ^雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!" j, @( M; {8 B7 X0 C; W# i
( F0 l) y1 a4 h# V: t9 I8 i' O[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
* V, y0 b' ]( w. ~[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。
% ^7 P! f, K D6 Y+ x& h[color=#333333 !important] ( E( y: n- n# C
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串) 1 ?- M/ l' Q; I; H+ \2 |4 s O
[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。$ F; t* P$ y/ L3 V- e8 I7 \
[color=#333333 !important]
8 {$ s, t. v9 a+ {3 h[color=#333333 !important](解压shellcode并执行)
* m' f# }, O# @2 _/ q7 X[color=#333333 !important] ! A( r7 B. i0 W( }3 l+ L# P; e
[color=#333333 !important](部分shellcode)
& T' f$ F4 I; i% y4 u0 t* o3 ^/ [[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。7 w& z2 y4 ~ o! c" ~) C
[color=#333333 !important] . {$ }% d( e; P+ q0 q _
[color=#333333 !important](解压后的shellcode)
( U$ ] Z- N3 H; C' H0 \[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。; ~2 k G) Z3 e# K) ?1 x
[color=#333333 !important] 
- L. j4 w" c) o' J B* ]. q[color=#333333 !important](后门代码示意图)
2 x" |' W( ?% V6 t[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。% Y+ Z3 a+ W1 z9 [: P
[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
- M) q$ x3 B1 a2 K# E, x4 `7 b[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;# C6 Z7 ~$ q. B4 y8 Y
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;8 V3 P- H2 }; k$ m4 N; c3 S0 `$ L
[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
1 `) c% V9 i1 g* A 附录:部分IOCs7 O" E& d( y# t8 u8 a8 `
) E) ]- j0 \- F' R被篡改的php_xmlrpc.dll:
]" A" p" w1 P9 ]& [3 x7 L$ h7 {3 S. r: n4 J- _5 n W9 m% k
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5
( m& V/ {8 y6 o8 E" I[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9
% W$ V$ r! K2 o/ P' c4 [/ V[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0
+ Q6 r) \1 w0 o1 |7 W6 V[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
6 y8 y! A' z( f" W0 {7 F# n/ g1 H[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c# F# ~( T2 t2 r; j" g
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec2449 s/ F1 G8 {* Y$ ~! w# F1 [( Y
[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e% q# [ Y1 {% p9 ^* D/ y* S) y
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd
5 K- m( m) x S; i6 P1 `* T 2018版PhpStudy安装程序$ I" O+ t+ M- ]( X) F( G. V
. t& I5 Y; y$ t# E& X8 p[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797, T* ^' }8 K0 [8 X' |
2016版PhpStudy安装程序
' x, k& y0 P4 _& u1 U" @
% @9 _, k0 \/ A) f[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9! }, T( ^% p- f# I& D# v! P
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d
' P/ x+ y* S x3 B' ] URL:0 T$ B, `( ^/ V# O$ j
9 a! E9 u! b7 j. y; \
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip: e/ [# B+ x- x* F q
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip {2 y' G6 S. o2 O1 \" s
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip; ?% [) l0 N' ]* g
CC:
+ R B0 \; j1 W3 t/ P: H, S* E5 m( i' b( V
[color=#333333 !important]www.360se.net:20123+ G9 i/ u; h5 k* c6 C! X
[color=#333333 !important]www.360se.net:40125
! A# k. d8 ]* D[color=#333333 !important]www.360se.net:8080
0 q d0 ~9 F! ~1 s* z# ?. d; G[color=#333333 !important]www.360se.net:80
7 O/ T- C3 F5 F$ R[color=#333333 !important]www.360se.net:53/ ]& G* Z6 F. E9 g$ O
[color=#333333 !important]bbs.360se.net:20123
3 h! }: f- P7 F7 b[color=#333333 !important]bbs.360se.net:40125
8 R( x8 [, F8 \& h[color=#333333 !important]bbs.360se.net:8080" l( U/ m6 {1 J2 o, s
[color=#333333 !important]bbs.360se.net:80
, X* Q% E9 ~. a! i* B: [[color=#333333 !important]bbs.360se.net:53& Z$ n, p( k* L# w
[color=#333333 !important]cms.360se.net:20123
& q b8 L" d7 x7 l+ j[color=#333333 !important]cms.360se.net:401253 L6 L. d! {% u# |
[color=#333333 !important]cms.360se.net:8080$ u; n5 f" T4 n5 S
[color=#333333 !important]cms.360se.net:80
# n, D0 U7 _" q* v! @& ]/ v; F% B. O2 G[color=#333333 !important]cms.360se.net:53
" z4 K" L8 t; U' k7 i[color=#333333 !important]down.360se.net:20123
4 p$ ^ v" v0 I[color=#333333 !important]down.360se.net:40125
3 O, n' C6 c8 Z( z( q& n[color=#333333 !important]down.360se.net:80806 l* W: ] U; r S1 |# r" K( ]
[color=#333333 !important]down.360se.net:80
( @$ Y0 K/ Y/ j( e$ r% [[color=#333333 !important]down.360se.net:53
@/ U+ M. s W' n, B/ F[color=#333333 !important]up.360se.net:20123
( a% q* i8 q4 H) t6 j' r[color=#333333 !important]up.360se.net:40125& Y" u' c) |% C: z
[color=#333333 !important]up.360se.net:8080
* q0 o ^6 }5 X5 z; [+ y3 B. W[color=#333333 !important]up.360se.net:80 W) l8 g& t7 T
[color=#333333 !important]up.360se.net:539 `# a- n6 n$ g' x* R3 E3 n. W2 N
[color=#333333 !important]file.360se.net:20123
: ^; `6 _" T# X* t% R, h1 k9 R[color=#333333 !important]file.360se.net:40125& M+ d! J- ?( E* s% C* r/ H
[color=#333333 !important]file.360se.net:8080" L, u$ {$ Q( F: b
[color=#333333 !important]file.360se.net:80
1 V! {" i" z) q0 G! [6 Z$ ?[color=#333333 !important]file.360se.net:539 c2 Z, E) o; ~' c8 a( O2 d
[color=#333333 !important]ftp.360se.net:20123
6 F: B9 ^- r% Z L: c. Y[color=#333333 !important]ftp.360se.net:401255 T/ f+ [& p. V/ l; t
[color=#333333 !important]ftp.360se.net:8080
# K% b. ~# _7 }[color=#333333 !important]ftp.360se.net:80
9 m8 s& W& C. P ]7 C& x$ l9 T[color=#333333 !important]ftp.360se.net:53$ F1 ^/ s+ _+ B3 h3 V* x
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM
, i5 R" e" N* Q% w! e" @% j+ Q: k; p! V+ K* ^# X1 ]
' U* O) E' a$ i9 u- Q7 R) @9 e精彩推荐$ ?5 z9 R# _- o2 @9 V8 p1 B
 ! D _8 a; d8 f
# O* m1 b W9 D/ U1 Y6 ^; H
' s3 V/ g4 s9 u6 ^, n
+ i9 u( `! b7 b9 G
8 `' i. I! B7 [' X8 `8 k7 D) s' m* D, \2 h( r7 _0 ^' U5 \: q. y
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1' N4 ^( M0 ^$ ?& X; y# O
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
