php后门检测工具,phpStudy后门如何检测和修复
背景
一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。
来自文章的原话:”据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用***手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。“
技术上来讲,是篡改了 phpStudy 的扩展库,我们从安装包(md5=fc44101432b8c3a5140fcb18284d2797)检测到的植入后门的 dll 为下面三个(其他安装包可能有不同):
PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll
PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll
PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll
植入的后门主要是可以直接执行远程代码,危害极大,具体可参考《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》。
修复dll漏洞
此次的安全事故修复起来相对比较麻烦,因为不知道已遭受后门的网站已经泄露了什么,因为该后门能做的事情总结起来就一句话:什么都能干。
既然安全事故已经发生,我们还是需要尽力补救。
phpStudy在第一时间已经在官网给出了漏洞检测和修复工具,可以直接下载,这个点个小心心。
顺便说一下:注意看左下角点击下载的下载链接,不知道PHPStudy的官网小编有多粗心,下载文件的名称为:phsptudy 安全自检修复程序.exe ,phpStudy 都没拼对 T_T (2019年9月22日截图)
下载完成之后,按照软件的提示,选择安装目录,然后开始检测,这样即可修复软件本身的dll漏洞。
使用软件检测修复之后,我们对比了一下系统,发现更新了这三个dll文件,应该就是被恶意篡改的文件。
网站易造成的漏洞排查
上面一个步骤只是修复了软件本身的漏洞,但是其实你并不能知道,你的网站是否已经被留有后门,如果已经被留有后门,我们应尽可能的找出来。
使用工具
比如推荐《D盾_防火墙》,对你的网站文件目录进行检查,排除一些常见的漏洞问题。
人工检查
第二步就需要靠经验,如果使用的是开源系统,可以和最原始的网站源代码做对比,可自行找一下diff内容对比工具。
这一步我们只是尽可能的找出已发现的问题,并没有通用的方案一定能找出所有问题,所以需要在日常持续观察异常情况。
安全修补
为了减少系统已产生的后门带来的危险,可以继续做以下工作:
不需要对外开放的端口同一关闭,或者做IP访问限制,防止已有后门继续和外界保持通讯
对于所有访问请求的URL进行记录(可以通过Apache或nginx访问日志记录),定期分析所有的请求是否有异常情况
教训
多少次的安全事故提醒我们对待技术要有一颗敬畏之心,Antted 在遇到安全问题是能第一时间响应,一直致力于为大家提供一个最安全的网站系统。
参考
php后门检测工具,phpStudy后门如何检测和修复相关推荐
- android oom 检测工具,Android中UI检测、内存泄露、OOM、等优化处理
对Android整个优化分析,非常棒,下面是自己的积累笔记.可直接看原文. 界面检测工具: Fps: GPU检测, 使用Lint进行资源及冗余UI布局等优化 (很强大,布局的冗余) Memory检测G ...
- [安装程序]HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息]
[安装程序]HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息] 软件名称:HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息] 软件大小:1.74 MB 软件类型:国产软 ...
- notepad++调用VIVADO语法检测工具进行verilog语法检测
Notepad++ 色彩过于明显,已不再使用该编辑器 Notepad++安装NppExec插件 在notepad++界面中选择 插件>插件管理>安装NppExec 获取VIVADO语法检测 ...
- 硬盘检测工具+linux,linux硬盘检测工具:Smartmontools使用指南
linux硬盘检测工具:Smartmontools使用指南 来源:互联网 作者:佚名 时间:2013-04-10 13:32 在服务器管理的实际环境中,硬盘是最容易出现问题及发生故障的硬件,而且硬盘中 ...
- linux下emmc检测工具,eMMC芯片Bug检测工具(eMMC check)下载 v1.3.0
eMMC芯片Bug检测工具(eMMC check)安卓版可检测你的芯片是否有BUG,其实更大的用处还是看字库的写入时间以此来鉴别是否新机. 最近越来越多的人反映三星I9300莫名其妙的开不了机,开机卡 ...
- 2021最新微信域名链接检测工具 微信域名拦截检测接口
前段时间年底在加上315这段时间腾讯重点监视在微信内推广的链接,在微信中分享文章带有不良内容的会被微信封,为了保证一个域名一直都能正常访问,需要及时检测链接域名是否被封,被封后就该立刻删除被封了的链接 ...
- 测试手机硬件检测软件是什么,手机硬件检测工具_手机硬件检测软件_手机硬件检测软件哪个好【最新】-太平洋电脑网...
win7系统怎么检测电脑硬件的散热功能 win7系统怎么检测电脑硬件的散热功能 驱动人生硬件检测功能 驱动人生使用方法 驱动人生硬件检测功能使用方法来咯~有些朋友不知道驱动人生硬件检测怎么用,这个实用 ...
- 电脑手机硬件测试软件,手机硬件检测工具_手机硬件检测软件_手机硬件检测软件哪个好【最新】-太平洋电脑网...
win7系统怎么检测电脑硬件的散热功能 win7系统怎么检测电脑硬件的散热功能 驱动人生硬件检测功能 驱动人生使用方法 驱动人生硬件检测功能使用方法来咯~有些朋友不知道驱动人生硬件检测怎么用,这个实用 ...
- android usb 检测工具,Android:如何检测已连接的USB设备?
我正在尝试检测已连接到android的USB设备. 我知道有些动作可以检测USB何时连接或分离. 但是在将usb设备连接到android之后,我真的不知道如何检查设备. 此外,我发现每个USB设备都有 ...
最新文章
- 笔记工具这么多,但这款有点不一样
- appium安装完成后运行和执行python脚本的错误合集
- django时区设置问题
- mac远程桌面登陆windows
- python-if判断的本质
- JDBC ResultSet 可更新的结果集
- 【软件工程】复利计算器--结对编程
- SharePoint 2010工作流系列(2):SharePoint Designer 2010中工作流的条件和操作概览
- Windows开启网络对时方法
- 盛京剑客系列25:极简估值教程——第一讲速判估值与PEG的推导
- SD卡启动第二篇 (手动导入系统到SD卡分区)
- webERP 添加客户-amp;gt;分公司信息 'vtiger_accountid' doesn't have a default value
- vim复制、粘贴以及配置总结
- 好好说话之ret2shellcode
- 计算机科学与技术要求具备的能力,计算机科学与技术专业毕业要求及指标点(2019版)...
- 制造业信息化的长治久安之计--Agentflow解决方案简介
- 青岛智能物联网产才融合中心成立,山东大学携手百度飞桨海尔海纳云等共育AI人才...
- 关于Clipper库使用小结
- 现在进行时的stem课堂设计
- poj1228Grandpa's Estate