背景
一篇《Phpstudy官網於2016年被入侵,犯罪分子篡改軟體並植入後門》讓人觸目驚心,從官網的下載官方安裝包也會有問題,由此可想而知目前已經有多少網站已經淪陷。接到訊息的第一時間,我們對以前從官網下載的一個安裝包 phpStudySetup.exe 進行了檢測,發現 md5=fc44101432b8c3a5140fcb18284d2797,果然也已經在涉及漏洞的列表中。
來自文章的原話:”據主要犯罪嫌疑人馬某供述,其於2016年編寫了“後門”,使用黑客手段非法侵入了軟體官網,篡改了軟體安裝包內容。該“後門”無法被防毒軟體掃描刪除,並且藏匿於軟體某功能性程式碼中,極難被發現。“
技術上來講,是篡改了 phpStudy 的擴充套件庫,我們從安裝包(md5=fc44101432b8c3a5140fcb18284d2797)檢測到的植入後門的 dll 為下面三個(其他安裝包可能有不同):
- PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
- PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll
植入的後門主要是可以直接執行遠端程式碼,危害極大,具體可參考《數十萬PhpStudy使用者被植入後門,快來檢測你是否已淪為“肉雞”!》。
修復dll漏洞
此次的安全事故修復起來相對比較麻煩,因為不知道已遭受後門的網站已經洩露了什麼,因為該後門能做的事情總結起來就一句話:什麼都能幹。
既然安全事故已經發生,我們還是需要盡力補救。
phpStudy在第一時間已經在官網給出了漏洞檢測和修復工具,可以直接下載,這個點個小心心。
順便說一下:注意看左下角點選下載的下載連結,不知道PHPStudy的官網小編有多粗心,下載檔案的名稱為:phsptudy 安全自檢修復程式.exe ,phpStudy 都沒拼對 T_T (2019年9月22日截圖)
下載完成之後,按照軟體的提示,選擇安裝目錄,然後開始檢測,這樣即可修復軟體本身的dll漏洞。
使用軟體檢測修復之後,我們對比了一下系統,發現更新了這三個dll檔案,應該就是被惡意篡改的檔案。
網站易造成的漏洞排查
上面一個步驟只是修復了軟體本身的漏洞,但是其實你並不能知道,你的網站是否已經被留有後門,如果已經被留有後門,我們應儘可能的找出來。
使用工具
比如推薦《D盾_防火牆》,對你的網站檔案目錄進行檢查,排除一些常見的漏洞問題。
人工檢查
第二步就需要靠經驗,如果使用的是開源系統,可以和最原始的網站原始碼做對比,可自行找一下diff內容對比工具。
這一步我們只是儘可能的找出已發現的問題,並沒有通用的方案一定能找出所有問題,所以需要在日常持續觀察異常情況。
安全修補
為了減少系統已產生的後門帶來的危險,可以繼續做以下工作:
- 不需要對外開放的埠同一關閉,或者做IP訪問限制,防止已有後門繼續和外界保持通訊
- 對於所有訪問請求的URL進行記錄(可以通過Apache或nginx訪問日誌記錄),定期分析所有的請求是否有異常情況
教訓
多少次的安全事故提醒我們對待技術要有一顆敬畏之心,Antted 在遇到安全問題是能第一時間響應,一直致力於為大家提供一個最安全的網站系統。
參考
- 《數十萬PhpStudy使用者被植入後門,快來檢測你是否已淪為“肉雞”!》:https://mp.weixin.qq.com/s/HtJIIlCnI_8VLfX...
- 《Phpstudy官網於2016年被入侵,犯罪分子篡改軟體並植入後門》:https://www.anquanke.com/post/id/187152