作者：juniu网络   来源:互联网    发布时间:2022-04-24

　　近日，阿里云应急反应中心监测到国内知名php环境一键安装包“phpstudy”遭黑客篡改，其windows版本自带的php_xmlrpc.dll模块被植进后门。流量攻击者在请求中构造特定字符串，可完成远程命令执行，控制服务器。

　　漏洞描述

　　黑客根据篡改php_xmlrpc.dll模块，导致客户的请求均会经过特定的后门函数。当满足一定条件时，黑客可以根据自定义头部完成任意代码执行，在客户无感知的情况下窃取客户信息。

　　影响版本

　　phpstudy许多windows版本被植进后门

　　安全建议

　　1. 客户根据搜索php_xmlrpc.dll模块中是否包含“eval”等核心字来定位是否存在后门，后门文件包括phpphp-5.4.45extphp_xmlrpc.dll 和 phpphp-5.2.17extphp_xmlrpc.dll 等。若存在请及时卸载后门程序并排查。

　　2. 关注phpstudy官方安全公告，尽量在官网开展下载和更新。