服务公告
关于PHP调试环境的程序集成包Phpstudy后门高风险预警
2019-09-30
一、概要
近日,华为云安全团队关注到国内知名PHP调试环境程序集成包Phpstudy遭到黑客篡改,其php_xmlrpc.dll模块中存在隐藏后门,攻击者利用该后门可实现远程代码执行,控制服务器。
参考链接:
https://cert.360.cn/warning/detail?id=928ff5df86b5f6b819d56aeabf2d0546
二、威胁级别
威胁级别:【严重】
(说明:威胁级别共四级:一般、重要、严重、紧急)
三、影响范围
目前已知受影响Windows版本如下:
Phpstudy 2016版 php-5.4
Phpstudy 2018版 php-5.2.17
Phpstudy 2018版 php-5.4.45
四、排查及处置方案
影响排查:
用户可通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门,操作如下:
进入PhpStudy目录,找到php_xmlrpc.dll文件,直接打开并搜索“eval”关键字,若存在“eval”关键字则受影响。
处置方案:
1、修改所有可能泄露的服务器密码、应用系统等密码。
2、尽快备份网站数据,删除受影响的Phpstudy并从官网(https://www.xp.cn/)下载最新版本进行部署。
注:修复漏洞前请将资料备份,并进行充分测试。