[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。. f: d7 V7 i J. \$ x
[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!/ _2 y9 w) n5 M4 Z% _6 L7 r
[color=#333333 !important]
/ F v! k! e0 ?& X2 C! t$ [. g案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”5 n2 R t+ D1 h4 A" j
& u5 o- m7 ?4 }) w* @7 c Y
[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。- s2 p( C3 O' S# E7 Z- v# Z4 [( d
[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。, K" u4 a9 l- J8 I+ L2 B5 L# H- D
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。) S. }0 E' v) k9 B( I9 L
雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!& T* l# S' ?, N2 P9 N4 g+ M2 O/ |
I+ N7 @% b2 i m' ~
[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
8 J/ U* k. h! u# O) ~, y" ?[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。
' ]( Q8 r, r( f3 q7 G; w- V[color=#333333 !important] ' e; g; N# u: D7 b5 x
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)
& n N- Y7 P7 X2 F: P[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。( X( {7 A* Q9 [7 ]: g& [( l% d
[color=#333333 !important]
1 h H; o% Y( ?. ~* C+ V8 R+ T( P[color=#333333 !important](解压shellcode并执行) 7 a% k( I! L4 M# t3 E: G
[color=#333333 !important] , ]7 P4 S' I; P- f8 b1 Z
[color=#333333 !important](部分shellcode)
5 t! `5 o4 Y8 i. b[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。9 A7 }' U N- v9 I
[color=#333333 !important]
1 i9 S/ s G* ~' d[color=#333333 !important](解压后的shellcode) 5 `* t) M+ i/ N4 k
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。9 y) [* M" r; v& ^' f( a$ t
[color=#333333 !important] 
[color=#333333 !important](后门代码示意图) 1 A( E# x2 W* E, A
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
4 U! u4 `1 n7 e/ y[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:
" ~; |6 H3 u$ Q( Q7 ^[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;+ U0 N% g$ g K/ ]( y
[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
1 e* `! d0 u1 ` {[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。
" W7 p) P; i( d3 G: q7 {. P 附录:部分IOCs
# L7 t- E# o/ h6 e0 v0 j+ m
& L' ]5 n. M, t2 h; u1 F8 s被篡改的php_xmlrpc.dll:
. a/ s" \% E+ C* |) x- P% T3 f- Y. \; A/ F+ ~
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5% \# X& z3 g1 @; c! p
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9( K# x- q( h/ m' f
[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0
/ x) x) f- {: J( ? F[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df1 |& s' E4 ]- A; [
[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c
% b( F: p: q- R9 o* K[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244
4 J% g6 V$ M8 k1 @, U! S[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e
8 Y% \$ r: A' z/ [6 \9 c[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd5 F: x, v) ^2 r( P
2018版PhpStudy安装程序
7 n9 `( q7 j6 b! M; u: B
! x. e3 ^3 n# ]& y2 U C[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797# N9 ~( }3 ?1 x& ^
2016版PhpStudy安装程序) d, b- T7 N# N3 Z$ ?) B1 l9 w
! G* D G; j' {, h- l& v2 z6 P* J
[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9) V, o$ I. {% \
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d- y. `1 z1 l8 h' J6 A
URL:
. v# e7 h+ O& G8 h& e4 i0 C, l7 z) A. u" ?& n& Q) C4 L3 _) _ l
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip" N7 _0 z! w# X9 v- \# ?! K" {5 d* r% M
[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
8 b' ^9 {" d+ d9 U0 J! V, ^[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
4 C; @7 e' V/ w% r" t+ W9 b$ H CC:5 y% b7 e6 A0 K7 L7 v
! `) L* O3 J) |) Q. Z; y[color=#333333 !important]www.360se.net:20123% @. e& ~. d) ^% a0 ?: b
[color=#333333 !important]www.360se.net:40125. Z+ h- d; I9 q5 D
[color=#333333 !important]www.360se.net:8080- H/ p A7 a# I% g
[color=#333333 !important]www.360se.net:80( |) n/ }; B% e- |' i& J4 H) Q
[color=#333333 !important]www.360se.net:53
2 @3 R) I0 S8 ?4 v1 l[color=#333333 !important]bbs.360se.net:20123' ~* r1 u/ @% V I& C! e/ C
[color=#333333 !important]bbs.360se.net:401258 U. [9 \& I; }0 g1 S0 t
[color=#333333 !important]bbs.360se.net:8080
/ R ^6 i; V8 }6 z) v8 Z/ t[color=#333333 !important]bbs.360se.net:80
% l- w& ^; o U1 @# Q; q5 D8 v[color=#333333 !important]bbs.360se.net:53
; i6 J2 R7 N8 u ~' {6 i- Y! _[color=#333333 !important]cms.360se.net:20123
: i$ X* r3 S p* |6 ~( R[color=#333333 !important]cms.360se.net:40125
5 f3 Q0 f, P: M2 L4 a[color=#333333 !important]cms.360se.net:80805 H& \2 z5 ]3 ?9 V. W
[color=#333333 !important]cms.360se.net:803 M* N/ t& X* k2 f! o+ G
[color=#333333 !important]cms.360se.net:537 l, X) W7 Y; q: c K& b. w1 h7 w
[color=#333333 !important]down.360se.net:201233 W) i. Q/ Z* V# g
[color=#333333 !important]down.360se.net:40125
& v' h. K: c* m9 f+ ~[color=#333333 !important]down.360se.net:8080
/ \9 {9 X3 m. h3 X[color=#333333 !important]down.360se.net:80( [; d9 b7 j; A3 k) v0 p1 [
[color=#333333 !important]down.360se.net:53, t6 }5 U3 x* ]+ u& G
[color=#333333 !important]up.360se.net:20123
6 r f' E% q5 a" t* K- u# C: I- v[color=#333333 !important]up.360se.net:40125+ X4 l, i& `( P4 |0 O/ s! _: y
[color=#333333 !important]up.360se.net:8080
9 ], w! t; m9 m0 V8 j) ^/ k[color=#333333 !important]up.360se.net:80+ ^ k" V& C" ?; {$ H1 O: g6 e* e1 ]
[color=#333333 !important]up.360se.net:536 q/ J( `) `6 P* ?+ l
[color=#333333 !important]file.360se.net:20123
( f* X7 d- F/ Z& `: m# \[color=#333333 !important]file.360se.net:40125
5 d' k- ]* i8 n% P+ Q; g/ i. ^$ `[color=#333333 !important]file.360se.net:8080" K1 T7 \8 S. `/ `4 X! A) G
[color=#333333 !important]file.360se.net:80
3 _& s+ P4 s; K. o" Y3 U[color=#333333 !important]file.360se.net:53
9 ^; b& E8 a( C. t[color=#333333 !important]ftp.360se.net:20123
8 R2 {7 }0 p9 N$ U( \5 C[color=#333333 !important]ftp.360se.net:40125
9 t$ w$ U" ?& L u& z; `+ J9 W1 f[color=#333333 !important]ftp.360se.net:8080
. c$ G H1 b, A6 N[color=#333333 !important]ftp.360se.net:80
% `6 M2 N4 ^4 j [' Z# k5 r* m8 O[color=#333333 !important]ftp.360se.net:53
7 @) W; g" J: [! h; d [color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM8 a3 m2 U. W) x. z
1 m8 }0 X( }9 q) F' P4 V/ u6 [
 5 V9 P; u/ _" {: B
精彩推荐
' y2 i4 q. K4 y( P
- y; Z: O( D; ?9 f2 N) M
& O! Y& Z* Q6 p- o& ~" w" e+ U/ K4 O
4 m2 |* ~$ V, A! X8 y( T' t$ o9 |2 P; W
! x5 _. L! |, X9 G) K9 @1 P5 \- I9 i$ @# ~4 l% J: b
来源:http://mp.weixin.qq.com/s?src=11×tamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1% ?$ d& c) p" G# O+ w& D( m; F
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! | 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-9-22 22:51:15
