北京時間9月20日，杭州公安釋出《杭州警方通報打擊涉網違法犯罪暨‘淨網2019’專項行動戰果》一文，文章曝光了國內知名PHP除錯環境程式整合包“PhpStudy軟體”遭到黑客篡改並植入“後門”。截至案發，近百萬PHP使用者中超過67萬使用者已被黑客控制，並大肆盜取賬號密碼、聊天記錄、裝置碼類等敏感資料多達10萬多組，非法牟利600多萬元。

面對如此性質惡劣的網路攻擊事件，360安全大腦已獨家完成了針對“PhpStudy後門”的修復支援，能夠有效清除和修復該植入“後門”，第一時間守護使用者的個人資料及財產安全，建議廣大使用者儘快前往https://dl.360safe.com/instbeta.exe下載安裝最新版360安全衛士進行修復！

案情破獲：自2016年開始潛伏，累計67萬電腦淪為“肉雞”

PhpStudy軟體對於國內眾多開發者而言，並不陌生。它是一款免費的PHP除錯環境的程式整合包，整合了最新的Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款軟體一次性安裝，無需配置即可直接使用，具有PHP環境除錯和PHP開發功能。因為免費公益、簡易方便，現已發展到一定的規模，有著近百萬PHP語言學習者、開發者使用者。

然而，如此綠色無公害的“國民”開發軟體遭到了黑客的毒手，並且犯罪動機竟然出自黑客的技癢和虛榮心。據杭州公安披露，黑客組織早在2016年就編寫了“後門”檔案，並非法侵入了PhpStudy的官網，篡改了軟體安裝包植入“後門”。而該“後門”具有控制計算機的功能，可以遠端控制下載執行指令碼實現使用者個人資訊收集。

從2016年起，黑客利用該“後門”犯罪作惡一發不可收拾，大量中招的電腦淪為“肉雞”執行危險命令，不計其數的使用者賬號密碼、電腦資料、敏感資訊被遠端抓取和回傳。據統計，黑客已控制了超過67萬臺電腦，非法獲取賬號密碼類、聊天資料類、裝置碼類等資料10萬餘組，而此案也是2019年以來，國內影響最為嚴重的供應鏈攻擊事件。

雷霆行動：“後門”涉及多個版本，360安全大腦國內率先支援修復！

值得注意的是，經360安全大腦的監測發現，被篡改的軟體版本並不單單是官方通告的PhpStudy2016版本中的Php5.4版本，而是在PhpStudy 2016版和2018版兩個版本中均同時被發現有“後門”檔案的存在，並且影響部分使用PhpStudy搭建的Php5.2、Php5.3和Php5.4環境。雖然目前官方軟體介紹頁面中的下載連結已經失效，但在官網歷史版本中仍能下載到。除了官網外，一些下載站提供的相同版本的PhpStudy也同樣“不乾淨”。

360安全大腦的進一步深度溯源，確認絕大多數後門位於PhpStudy目錄下的“php\php-5.4.45\ext\php_xmlrpc.dll”檔案和“\php\php-5.2.17\ext\php_xmlrpc.dll”檔案中，不過也有部分通過第三方下載站下載的PhpStudy後門位於“\php53\ext\php_xmlrpc.dll”檔案中。通過檢視字串可以發現檔案中出現了可疑的“eval”字串。

“eval”字串所在的這段程式碼通過PHP函式gzuncompress解壓位於偏移0xd028到0xd66c處的shellcode並執行。

（解壓shellcode並執行）

（部分shellcode） 

經過解壓之後的shellcode如下圖所示，shellcode中經過base64編碼的內容即為最終的後門。

（解壓後的shellcode）

最終的後門請求C&C地址360se.net，執行由C&C返回的內容，目前該地址已無法正常連線。

（後門程式碼示意圖）

雖然在杭州網警專案組的行動下，已經分別在海南、四川、重慶、廣東分別將馬某、楊某、譚某、周某某等7名犯罪嫌疑人緝拿，不過經360安全大腦的關聯分析，目前網路中仍然有超過1700個存在“後門”的php_xmlrpc.dll檔案。

這些通過修改常用軟體底層原始碼，祕密新增的“後門”，可以在使用者無感知的狀態下，非法獲取使用者隱私資料，嚴重侵害了人民群眾的合法權益，甚至危害國家安全。而360安全大腦通過多種技術手段防禦，可以第一時間感知此類惡意檔案的態勢程式，並獨家推出了修復方案。同時，360安全大腦特別建議：

1. 前往https://dl.360safe.com/instbeta.exe，儘快下載安裝最新版360安全衛士，能有效清除並修復PhpStudy安裝目錄下的“後門”檔案，全面保護個人資訊及財產安全；

2. 請及時修改伺服器密碼，其他使用相同註冊郵箱和密碼的網路帳戶也應該一併修改，消除風險；

3. 不要隨意下載，接收和執行不明來源的檔案，儘量到PhpStudy官網https://www.xp.cn/下載最新版PhpStudy安裝包進行更新，以防中招。

附錄：部分IOCs

被篡改的php_xmlrpc.dll：

c339482fd2b233fb0a555b629c0ea5d5

0f7ad38e7a9857523dfbce4bce43a9e9

8c9e30239ec3784bb26e58e8f4211ed0

e252e32a8873aabf33731e8eb90c08df

9916dc74b4e9eb076fa5fcf96e3b8a9c

f3bc871d021a5b29ecc7ec813ecec244

9756003495e3bb190bd4a8cde2c31f2e

d7444e467cb6dc287c791c0728708bfd

2018版PhpStudy安裝程式

md5: fc44101432b8c3a5140fcb18284d2797

2016版PhpStudy安裝程式

md5: a63ab7adb020a76f34b053db310be2e9

md5：0d3c20d8789347a04640d440abe0729d

URL：

hxxp://public.xp.cn/upgrades/PhpStudy20180211.zip

hxxps://www.xp.cn/phpstudy/phpStudy20161103.zip

hxxps://www.xp.cn/phpstudy/PhpStudy20180211.zip

CC:

www.360se.net:20123

www.360se.net:40125

www.360se.net:8080

www.360se.net:80

www.360se.net:53

bbs.360se.net:20123

bbs.360se.net:40125

bbs.360se.net:8080

bbs.360se.net:80

bbs.360se.net:53

cms.360se.net:20123

cms.360se.net:40125

cms.360se.net:8080

cms.360se.net:80

cms.360se.net:53

down.360se.net:20123

down.360se.net:40125

down.360se.net:8080

down.360se.net:80

down.360se.net:53

up.360se.net:20123

up.360se.net:40125

up.360se.net:8080

up.360se.net:80

up.360se.net:53

file.360se.net:20123

file.360se.net:40125

file.360se.net:8080

file.360se.net:80

file.360se.net:53

ftp.360se.net:20123

ftp.360se.net:40125

ftp.360se.net:8080

ftp.360se.net:80

ftp.360se.net:53