数十万 PhpStudy 用户被植入后门,快来检测你是否已沦为“肉鸡”!
北京时间9月20日,杭州公安发布《杭州警方通报打击涉网违法犯罪暨‘净网2019’专项行动战果》一文,文章曝光了国内知名PHP调试环境程序集成包“PhpStudy软件”遭到黑客篡改并植入“后门”。截至案发,近百万PHP用户中超过67万用户已被黑客控制,并大肆盗取账号密码、聊天记录、设备码类等敏感数据多达10万多组,非法牟利600多万元。
案情破获:自2016年开始潜伏,累计67万电脑沦为“肉鸡”
PhpStudy软件对于国内众多开发者而言,并不陌生。它是一款免费的PHP调试环境的程序集成包,集成了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装,无需配置即可直接使用,具有PHP环境调试和PHP开发功能。因为免费公益、简易方便,现已发展到一定的规模,有着近百万PHP语言学习者、开发者用户。
然而,如此绿色无公害的“国民”开发软件遭到了黑客的毒手,并且犯罪动机竟然出自黑客的技痒和虚荣心。据杭州公安披露,黑客组织早在2016年就编写了“后门”文件,并非法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。而该“后门”具有控制计算机的功能,可以远程控制下载运行脚本实现用户个人信息收集。
从2016年起,黑客利用该“后门”犯罪作恶一发不可收拾,大量中招的电脑沦为“肉鸡”执行危险命令,不计其数的用户账号密码、电脑数据、敏感信息被远程抓取和回传。据统计,黑客已控制了超过67万台电脑,非法获取账号密码类、聊天数据类、设备码类等数据10万余组,而此案也是2019年以来,国内影响最为严重的供应链攻击事件。
“后门”涉及多个版本
值得注意的是,被篡改的软件版本并不单单是官方通告的PhpStudy2016版本中的Php5.4版本,而是在PhpStudy 2016版和2018版两个版本中均同时被发现有“后门”文件的存在,并且影响部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4环境。虽然目前官方软件介绍页面中的下载链接已经失效,但在官网历史版本中仍能下载到。除了官网外,一些下载站提供的相同版本的PhpStudy也同样“不干净”。
确认绝大多数后门位于PhpStudy目录下的“php\php-5.4.45\ext\php_xmlrpc.dll”文件和“\php\php-5.2.17\ext\php_xmlrpc.dll”文件中,不过也有部分通过第三方下载站下载的PhpStudy后门位于“\php53\ext\php_xmlrpc.dll”文件中。通过查看字符串可以发现文件中出现了可疑的“eval”字符串。
(php_xmlrpc.dll文件中可疑的“eval”字符串)
“eval”字符串所在的这段代码通过PHP函数gzuncompress解压位于偏移0xd028到0xd66c处的shellcode并执行。
(解压shellcode并执行)
(部分shellcode)
经过解压之后的shellcode如下图所示,shellcode中经过base64编码的内容即为最终的后门。
(解压后的shellcode)
最终的后门请求C&C地址360se.net,执行由C&C返回的内容,目前该地址已无法正常连接。
(后门代码示意图)
POC示例:
虽然在杭州网警专案组的行动下,已经分别在海南、四川、重庆、广东分别将马某、杨某、谭某、周某某等7名犯罪嫌疑人缉拿,不过经分析,目前网络中仍然有超过1700个存在“后门”的php_xmlrpc.dll文件。
这些通过修改常用软件底层源代码,秘密添加的“后门”,可以在用户无感知的状态下,非法获取用户隐私数据。
新闻来源:https://www.freebuf.com/news/topnews/214912.html
由 360安全 发布
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
高手问答第 233 期 —— 图数据库的设计和实践
随着抖音、小红书等社交内容平台的“爆红”,诞生了一种基于社交关系网路的推荐需求,而以垂直领域作为切入点的知识图谱过去两年的“爆火”,加上传统数据库在处理社交推荐、风控、知识图谱等方面的性能缺陷,图数据库的研发应运而生。 图数据库是一种非关系型数据库,用以解决现有关系数据库的局限性。它是一个使用图结构进行语义查询的数据库,它使用节点、边和属性来表示和存储数据。该系统的关键概念是图,它直接将存储中的数据项,与数据节点和节点间表示关系的边的集合相关联。正是图数据库记录关系这种特性,它的典型使用场景便是基于社交关系网络的社交推荐,eg:抖音的视频推荐;银行保险业务的风控、知识图谱、图结构引入 AI 训练模型、区块链、IoT 等则是图数据库的其他应用场景。 OSCHINA 本期高手问答(9 月 24日 - 9 月 30 日)将以「图数据库的设计和实践」为切入点展开讨论,包括:「图数据库的存储设计」、「图数据库的计算设计」、「图数据库的架构设计」,除了上述三个范围,你也可以将讨论的内容外延到图数据库整个领域,包括图数据库的现状、应用场景等等, 还可以专注于开源的分布式图数据库 Nebula Gra...
- 下一篇
OSChina 周三乱弹 —— 华佗就是这么治曹操的
Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 小小编辑推荐:《A Thousand Years》- Christina Perri 《A Thousand Years》- Christina Perri 手机党少年们想听歌,请使劲儿戳(这里) 反正朋友圈里都是这样的, @平安OSC :微信官方:我给你个大嘴巴子我 不用你打了, “脸大不是因为胖,是因为没消肿。” 你要是换完了, 貌似就不能换回来了, 大王(@罗马的王)做的实验, @罗马的王 :微信头像加了国旗就被套牢了,等国庆过了才可以换吧 有国旗还挺好看的, 中国骄傲么! @afterer :中国女排 3:0韩国,3:0 客麦隆,3:0俄罗斯,3:0 多米尼加,3:0 日本,3:2 巴西,3:0美国,横扫天下无敌手 中国姑娘呀……, 别的国家vs中国女排。 运动的话, 对自己的改变还挺大的, @for_ :衣服咋越穿越大了? 然后, 再整整牙齿, @MonroeCode :牙套摘 漂亮+1。 我就不愿意去牙科看病去, 老觉得牙科是这样的, “华佗就是这么治曹操的。” 还有比治牙更难的呢。 结婚就比治牙难多了…… @萌呆凯凯 ...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- SpringBoot2全家桶,快速入门学习开发网站教程
- CentOS8编译安装MySQL8.0.19
- SpringBoot2整合Redis,开启缓存,提高访问速度
- CentOS7,CentOS8安装Elasticsearch6.8.6
- CentOS6,CentOS7官方镜像安装Oracle11G
- Windows10,CentOS7,CentOS8安装Nodejs环境
- Red5直播服务器,属于Java语言的直播服务器
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS8,CentOS7,CentOS6编译安装Redis5.0.7