PhpStudy集成包被植入后门歹意程序破绽解决方案

Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装运用，拥有PHP环境调试和PHP开发功能，在国内有着近百万PHP说话学习者、开发者会员。

近日，阿里云应急相应核心监测到国内知名PHP网站环境程序集成包“PhpStudy”遭黑客篡改，其Windows版本自带的php_xmlrpc.dll模块被植入后门。袭击者在要求中结构特定字符串，可实现长途下令施行，控礼服务器。

正是这样一款公益性软件，2018年12月4日，西湖区公循分局网警大队接报案称，某企业发明企业内有20余台盘算机被施行惊险下令，疑似长途控制抓取账号密码等盘算机数据回传批量敏锐信息。

破绽描述:

黑客通过篡改php_xmlrpc.dll模块，致使会员的要求均会经过特定的后门函数。当知足一定前提时，黑客可以通过自定义头部实现任意代码施行，在会员无感知的状况下窃取会员数据。

影响版本:

PhpStudy多个Windows版本被植入后门

平安倡议

1. 会员通过搜寻php_xmlrpc.dll模块中可否包括“eval”等关键字来定位可否存在后门，后门文件包含phpphp-5.4.45extphp_xmlrpc.dll 和 phpphp-5.2.17extphp_xmlrpc.dll 等。若存在请及时卸载后门程序并排查。

2. 关注PhpStudy官方平安通告，尽量在官网进行下载和更新。