服务公告

全部公告 > 安全公告 > 关于PHP调试环境的程序集成包Phpstudy后门高风险预警

关于PHP调试环境的程序集成包Phpstudy后门高风险预警

2019-09-30

一、概要

近日,华为云安全团队关注到国内知名PHP调试环境程序集成包Phpstudy遭到黑客篡改,其php_xmlrpc.dll模块中存在隐藏后门,攻击者利用该后门可实现远程代码执行,控制服务器。

参考链接:

https://cert.360.cn/warning/detail?id=928ff5df86b5f6b819d56aeabf2d0546

二、威胁级别

威胁级别:【严重】

(说明:威胁级别共四级:一般、重要、严重、紧急)

三、影响范围

目前已知受影响Windows版本如下:

Phpstudy 2016版 php-5.4

Phpstudy 2018版 php-5.2.17

Phpstudy 2018版 php-5.4.45

四、排查及处置方案

影响排查:

用户可通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门,操作如下:

进入PhpStudy目录,找到php_xmlrpc.dll文件,直接打开并搜索“eval”关键字,若存在“eval”关键字则受影响。

处置方案:

1、修改所有可能泄露的服务器密码、应用系统等密码。

2、尽快备份网站数据,删除受影响的Phpstudy并从官网(https://www.xp.cn/)下载最新版本进行部署。

        注:修复漏洞前请将资料备份,并进行充分测试。