京东6.18大促主会场领京享红包更优惠

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 10259|回复: 0

数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!

[复制链接]

13

主题

0

回帖

10

积分

新手上路

积分
10
发表于 2019-9-22 22:51:15 | 显示全部楼层 |阅读模式 来自 中国
[color=#333333 !important]北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
3 R  f2 @1 S0 L/ i$ ^& t[color=#333333 !important]面对如此性质恶劣的网络攻击事件,360安全大脑已独家完成了针对“PhpStudy后门”的修复支持,能够有效清除和修复该植入“后门”,第一时间守护用户的个人数据及财产安全,建议广大用户尽快前往https://dl.360safe.com/instbeta.exe下载安装最新版360安全卫士进行修复!$ @; e; n" u: S* [
[color=#333333 !important]* M9 W$ f# J% B: X0 N/ I7 W  B
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”7 c% h2 D3 m; h8 {  t* }/ p& r& u

. _( r$ _) Y7 g4 g6 T7 g3 x[color=#333333 !important]PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
* [4 I# U! V# U. `( Y  N[color=#333333 !important]然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。" I1 R- j. x' D" P
[color=#333333 !important]从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
5 z5 r, `+ V9 w" `雷霆行动:“后门”涉及多个版本,360安全大脑国内率先支持修复!( I. q" z+ f4 a7 L1 {% W. i

* e  x' e, n) l4 X2 p: K[color=#333333 !important]值得注意的是,经360安全大脑的监测发现,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
' S: E6 H- f# X! w[color=#333333 !important]360安全大脑的进一步深度溯源,确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。# {' s, ~/ l# G. d4 |, U
[color=#333333 !important]' |0 V# j1 `) G: y+ Y+ P
[color=#333333 !important](php_xmlrpc.dll文件中可疑的“eval”字符串)

( j1 Z5 Y/ D3 P0 |6 Y% r[color=#333333 !important]“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。6 ^5 Z0 d) x4 L
[color=#333333 !important]& O- R$ |0 F$ z  x/ P0 P
[color=#333333 !important](解压shellcode并执行)
2 E! V1 T$ V7 u) ?
[color=#333333 !important]  [2 h3 \4 c) T! c; M
[color=#333333 !important](部分shellcode)

+ \& ?( Z  d4 \! y+ z" E% L[color=#333333 !important]经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。
$ f& X- n8 q9 _) ?/ p  P. K6 o[color=#333333 !important]
1 T$ h2 j4 F9 h9 U  u5 C) T
[color=#333333 !important](解压后的shellcode)
- w4 x+ H/ Y( T8 S6 K
[color=#333333 !important]最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
. e3 Y' k+ n7 V, U$ [1 g
[color=#333333 !important]

2 \6 S4 }4 a* ]$ `3 k
[color=#333333 !important](后门代码示意图)
( M. C8 R; x9 M9 R" O9 [5 P( ]
[color=#333333 !important]虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经360安全大脑的关联分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
( x% @2 u, u" t5 N0 m. F[color=#333333 !important]这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据,严重侵害了人民群众的合法权益,甚至危害国家安全。而360安全大脑通过多种技术手段防御,可以第一时间感知此类恶意文件的态势进程,并独家推出了修复方案。同时,360安全大脑特别建议:" e5 e2 u! |0 c& c4 O6 ^
[color=#333333 !important]1. 前往https://dl.360safe.com/instbeta.exe,尽快下载安装最新版360安全卫士,能有效清除并修复PhpStudy安装目录下的“后门”文件,全面保护个人信息及财产安全;
2 v4 u6 v5 @. B9 K8 r3 Q[color=#333333 !important]2. 请及时修改服务器密码,其他使用相同注册邮箱和密码的网络帐户也应该一并修改,消除风险;
: T2 u! i8 J6 D* }[color=#333333 !important]3. 不要随意下载,接收和运行不明来源的文件,尽量到PhpStudy官网https://www.xp.cn/下载最新版PhpStudy安装包进行更新,以防中招。5 B3 ]+ M0 J$ n2 {  A8 u' O9 ~# G) K
附录:部分IOCs
' o1 G. X) W& ~4 z4 G; M
) D: \$ j% o2 u被篡改的php_xmlrpc.dll:
0 b2 _0 v9 b# g- d3 `
$ r. l, K2 |* U0 j& G! L8 R4 ?2 T
[color=#333333 !important]c339482fd2b233fb0a555b629c0ea5d5$ j  s  G9 S3 R
[color=#333333 !important]0f7ad38e7a9857523dfbce4bce43a9e9$ _# C9 K  i, E8 z+ M8 I  r
[color=#333333 !important]8c9e30239ec3784bb26e58e8f4211ed0
$ a6 S7 f4 T* T" x[color=#333333 !important]e252e32a8873aabf33731e8eb90c08df
. C; z) ^( F! g[color=#333333 !important]9916dc74b4e9eb076fa5fcf96e3b8a9c# l3 w+ r* @+ G( y5 Z( X  r
[color=#333333 !important]f3bc871d021a5b29ecc7ec813ecec244; U  E3 x5 M$ ~' f1 e+ S' y$ |
[color=#333333 !important]9756003495e3bb190bd4a8cde2c31f2e' T/ N6 Q2 _. c* e/ l" s  k4 @
[color=#333333 !important]d7444e467cb6dc287c791c0728708bfd
( }/ k/ v5 |% m& \) T
2018版PhpStudy安装程序
" V6 h" \8 U( G# T1 L7 F0 a
2 P! K( q  {/ S; c  F
[color=#333333 !important]md5: fc44101432b8c3a5140fcb18284d2797
4 p8 i. b# V8 g, H5 i7 w7 }
2016版PhpStudy安装程序
) A' f& x4 E' C* a: P8 `& X% R' Z/ Q
[color=#333333 !important]md5: a63ab7adb020a76f34b053db310be2e9+ y% L* W8 @, a
[color=#333333 !important]md5:0d3c20d8789347a04640d440abe0729d  \& ]4 l; o9 _$ Q  q
URL:/ Z4 `) x  N+ G1 l8 K! |
/ v1 R" @2 V! a% j" j/ o
[color=#333333 !important]hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip
2 g5 o3 U- K) X[color=#333333 !important]hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip
  {5 n  ]3 R2 I- a. X# w7 k0 }5 s[color=#333333 !important]hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip
$ D8 f2 [8 o' F8 P# Q0 F6 S
CC:
# v3 M# Q4 n; s, x9 h" r( Z& R5 j! K
[color=#333333 !important]www.360se.net:20123- x5 m1 Y. L" Q7 E4 L( E/ `: B
[color=#333333 !important]www.360se.net:401250 C$ X( Z' P9 T  [! ]2 M
[color=#333333 !important]www.360se.net:8080
7 Q( \5 I3 w) E6 D) e[color=#333333 !important]www.360se.net:80+ C7 [' p& o. q3 }* h
[color=#333333 !important]www.360se.net:53! f; z2 R7 a; B/ M- {. G
[color=#333333 !important]bbs.360se.net:20123/ e7 J. ~6 m; V6 G& G
[color=#333333 !important]bbs.360se.net:40125
$ I; p$ O! ]" o& s[color=#333333 !important]bbs.360se.net:8080" Y/ x% U4 ^8 [* n+ g# {
[color=#333333 !important]bbs.360se.net:80
6 j; i/ b- p) a2 w[color=#333333 !important]bbs.360se.net:53
5 V6 g, V* A& G: F8 p[color=#333333 !important]cms.360se.net:20123
7 Q# n$ t0 A" @7 M; w! {( r9 m( b" y[color=#333333 !important]cms.360se.net:40125; i$ l/ Q8 y( p% |% i
[color=#333333 !important]cms.360se.net:80803 b: O+ f3 h" f: V7 |
[color=#333333 !important]cms.360se.net:800 i& N; l. I# u
[color=#333333 !important]cms.360se.net:53% ?2 N& P3 B, F4 E2 v& ^# q
[color=#333333 !important]down.360se.net:20123+ e2 l( R+ q4 ]( ]: _& V; t; t
[color=#333333 !important]down.360se.net:401251 t2 I. i) p& I4 P, Z. q% W# T
[color=#333333 !important]down.360se.net:8080
  f) p" ^8 h8 r+ C1 W/ M[color=#333333 !important]down.360se.net:80
! v+ a9 e. F! _0 f[color=#333333 !important]down.360se.net:534 o+ F! K! Y, b) @- g; U- A) i
[color=#333333 !important]up.360se.net:20123
. L% R3 T4 X3 X2 I[color=#333333 !important]up.360se.net:40125! l  i1 N& T' U9 T
[color=#333333 !important]up.360se.net:8080
0 ^7 \) W1 ~7 Y) {) {[color=#333333 !important]up.360se.net:80
, Q' ~) M6 I1 f. R. ^9 ?+ Y# w[color=#333333 !important]up.360se.net:53  g0 h8 m2 }7 ~
[color=#333333 !important]file.360se.net:20123
8 A3 t5 C. K! }& X, p[color=#333333 !important]file.360se.net:40125
2 h  _# P, q6 x1 A[color=#333333 !important]file.360se.net:8080- M6 J6 e2 w. c/ d
[color=#333333 !important]file.360se.net:80& q7 c, [  G: c  a. m$ j
[color=#333333 !important]file.360se.net:53! b7 B, `& j" `( C4 k( D3 l
[color=#333333 !important]ftp.360se.net:201232 N3 z+ j! `9 S7 p+ h0 Q7 [2 M
[color=#333333 !important]ftp.360se.net:40125
6 j7 D( u2 }, ~: Q* L[color=#333333 !important]ftp.360se.net:8080
7 n6 Q% A1 V* d6 k  N& n  T( G[color=#333333 !important]ftp.360se.net:80
6 k# \  ^2 Y, k3 J- |/ F5 R[color=#333333 !important]ftp.360se.net:53
% d; Y/ ~" T! @# t
[color=#333333 !important]*本文作者:360安全,转载请注明来自FreeBuf.COM) H- T3 j$ v/ T
4 E- y% G! U5 k5 I5 `9 ^/ {
4 B/ u4 R8 H0 H4 h& a5 G
精彩推荐
% k# W% v6 Q; Y8 C
* l( Y2 `, D0 h, Z- |; z

2 K% K; `+ _5 e; a
. v9 g! u/ c4 r6 [2 }8 Q% A8 t& b
! k( t4 b% f7 Q1 L

( n4 {" o! L7 y' X( b
3 `2 H5 ~; b, c; p来源:http://mp.weixin.qq.com/s?src=11&timestamp=1569162604&ver=1868&signature=nMTEvbqQvp1yT2KzYm-TiJTh834tZs2cquMZedwwmkAjoRd0b4GlSLLA0CyDYH*E3CXlIGgh*A5XXU3V9LcSt3CgplJMA7qwe-XksgPh2-jrmhRO-NEJ7qLMJylYx1xE&new=1
3 j. a( i, `- j$ m4 N: T. M免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×

帖子地址: 

梦想之都-俊月星空 优酷自频道欢迎您 http://i.youku.com/zhaojun917
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|手机版|小黑屋|梦想之都-俊月星空 ( 粤ICP备18056059号 )|网站地图

GMT+8, 2026-7-16 09:15 , Processed in 0.044852 second(s), 26 queries .

Powered by Mxzdjyxk! X3.5

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表