背景

一篇《Phpstudy官网于2016年被入*,犯罪分子篡改软件并植入后门》让人触目惊心,从官网的下载官方安装包也会有问题,由此可想而知目前已经有多少网站已经沦陷。接到消息的第一时间,我们对以前从官网下载的一个安装包 phpStudySetup.exe 进行了检测,发现 md5=fc44101432b8c3a5140fcb18284d2797,果然也已经在涉及漏洞的列表中。

来自文章的原话:”据主要犯罪嫌疑人马某供述,其于2016年编写了“后门”,使用***手段非法侵入了软件官网,篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除,并且藏匿于软件某功能性代码中,极难被发现。“

技术上来讲,是篡改了 phpStudy 的扩展库,我们从安装包(md5=fc44101432b8c3a5140fcb18284d2797)检测到的植入后门的 dll 为下面三个(其他安装包可能有不同):

PHPTutorial/php/php-5.2.17/ext/php_xmlrpc.dll

PHPTutorial/php/php-5.4.45-nts/ext/php_xmlrpc.dll

PHPTutorial/php/php-5.4.45/ext/php_xmlrpc.dll

植入的后门主要是可以直接执行远程代码,危害极大,具体可参考《数十万PhpStudy用户被植入后门,快来检测你是否已沦为“肉鸡”!》。

修复dll漏洞

此次的安全事故修复起来相对比较麻烦,因为不知道已遭受后门的网站已经泄露了什么,因为该后门能做的事情总结起来就一句话:什么都能干。

既然安全事故已经发生,我们还是需要尽力补救。

phpStudy在第一时间已经在官网给出了漏洞检测和修复工具,可以直接下载,这个点个小心心。

顺便说一下:注意看左下角点击下载的下载链接,不知道PHPStudy的官网小编有多粗心,下载文件的名称为:phsptudy 安全自检修复程序.exe ,phpStudy 都没拼对 T_T (2019年9月22日截图)

下载完成之后,按照软件的提示,选择安装目录,然后开始检测,这样即可修复软件本身的dll漏洞。

使用软件检测修复之后,我们对比了一下系统,发现更新了这三个dll文件,应该就是被恶意篡改的文件。

网站易造成的漏洞排查

上面一个步骤只是修复了软件本身的漏洞,但是其实你并不能知道,你的网站是否已经被留有后门,如果已经被留有后门,我们应尽可能的找出来。

使用工具

比如推荐《D盾_防火墙》,对你的网站文件目录进行检查,排除一些常见的漏洞问题。

人工检查

第二步就需要靠经验,如果使用的是开源系统,可以和最原始的网站源代码做对比,可自行找一下diff内容对比工具。

这一步我们只是尽可能的找出已发现的问题,并没有通用的方案一定能找出所有问题,所以需要在日常持续观察异常情况。

安全修补

为了减少系统已产生的后门带来的危险,可以继续做以下工作:

不需要对外开放的端口同一关闭,或者做IP访问限制,防止已有后门继续和外界保持通讯

对于所有访问请求的URL进行记录(可以通过Apache或nginx访问日志记录),定期分析所有的请求是否有异常情况

教训

多少次的安全事故提醒我们对待技术要有一颗敬畏之心,Antted 在遇到安全问题是能第一时间响应,一直致力于为大家提供一个最安全的网站系统。

参考

php后门检测工具,phpStudy后门如何检测和修复相关推荐

  1. android oom 检测工具,Android中UI检测、内存泄露、OOM、等优化处理

    对Android整个优化分析,非常棒,下面是自己的积累笔记.可直接看原文. 界面检测工具: Fps: GPU检测, 使用Lint进行资源及冗余UI布局等优化 (很强大,布局的冗余) Memory检测G ...

  2. [安装程序]HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息]

    [安装程序]HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息] 软件名称:HDDScan(硬盘坏道检测工具) 3.3[详细检测你的硬盘信息] 软件大小:1.74 MB 软件类型:国产软 ...

  3. notepad++调用VIVADO语法检测工具进行verilog语法检测

    Notepad++ 色彩过于明显,已不再使用该编辑器 Notepad++安装NppExec插件 在notepad++界面中选择 插件>插件管理>安装NppExec 获取VIVADO语法检测 ...

  4. 硬盘检测工具+linux,linux硬盘检测工具:Smartmontools使用指南

    linux硬盘检测工具:Smartmontools使用指南 来源:互联网 作者:佚名 时间:2013-04-10 13:32 在服务器管理的实际环境中,硬盘是最容易出现问题及发生故障的硬件,而且硬盘中 ...

  5. linux下emmc检测工具,eMMC芯片Bug检测工具(eMMC check)下载 v1.3.0

    eMMC芯片Bug检测工具(eMMC check)安卓版可检测你的芯片是否有BUG,其实更大的用处还是看字库的写入时间以此来鉴别是否新机. 最近越来越多的人反映三星I9300莫名其妙的开不了机,开机卡 ...

  6. 2021最新微信域名链接检测工具 微信域名拦截检测接口

    前段时间年底在加上315这段时间腾讯重点监视在微信内推广的链接,在微信中分享文章带有不良内容的会被微信封,为了保证一个域名一直都能正常访问,需要及时检测链接域名是否被封,被封后就该立刻删除被封了的链接 ...

  7. 测试手机硬件检测软件是什么,手机硬件检测工具_手机硬件检测软件_手机硬件检测软件哪个好【最新】-太平洋电脑网...

    win7系统怎么检测电脑硬件的散热功能 win7系统怎么检测电脑硬件的散热功能 驱动人生硬件检测功能 驱动人生使用方法 驱动人生硬件检测功能使用方法来咯~有些朋友不知道驱动人生硬件检测怎么用,这个实用 ...

  8. 电脑手机硬件测试软件,手机硬件检测工具_手机硬件检测软件_手机硬件检测软件哪个好【最新】-太平洋电脑网...

    win7系统怎么检测电脑硬件的散热功能 win7系统怎么检测电脑硬件的散热功能 驱动人生硬件检测功能 驱动人生使用方法 驱动人生硬件检测功能使用方法来咯~有些朋友不知道驱动人生硬件检测怎么用,这个实用 ...

  9. android usb 检测工具,Android:如何检测已连接的USB设备?

    我正在尝试检测已连接到android的USB设备. 我知道有些动作可以检测USB何时连接或分离. 但是在将usb设备连接到android之后,我真的不知道如何检查设备. 此外,我发现每个USB设备都有 ...

最新文章

  1. 笔记工具这么多,但这款有点不一样
  2. appium安装完成后运行和执行python脚本的错误合集
  3. django时区设置问题
  4. mac远程桌面登陆windows
  5. python-if判断的本质
  6. JDBC ResultSet 可更新的结果集
  7. 【软件工程】复利计算器--结对编程
  8. SharePoint 2010工作流系列(2):SharePoint Designer 2010中工作流的条件和操作概览
  9. Windows开启网络对时方法
  10. 盛京剑客系列25:极简估值教程——第一讲速判估值与PEG的推导
  11. SD卡启动第二篇 (手动导入系统到SD卡分区)
  12. webERP 添加客户-amp;gt;分公司信息 'vtiger_accountid' doesn't have a default value
  13. vim复制、粘贴以及配置总结
  14. 好好说话之ret2shellcode
  15. 计算机科学与技术要求具备的能力,计算机科学与技术专业毕业要求及指标点(2019版)...
  16. 制造业信息化的长治久安之计--Agentflow解决方案简介
  17. 青岛智能物联网产才融合中心成立,山东大学携手百度飞桨海尔海纳云等共育AI人才...
  18. 关于Clipper库使用小结
  19. 现在进行时的stem课堂设计
  20. poj1228Grandpa's Estate

热门文章

  1. 使用FreeType实现矢量字体的粗体、斜体、描边、阴影效果
  2. #Revit二次开发# 创建剖面视图
  3. 网页版视频怎么加快播放速度
  4. 三种开窗函数详细用法,图文详解
  5. IDEA设置类注解模板
  6. PaperWeekly 第53期 | 更别致的词向量模型:Simpler GloVe - Part 2
  7. 旗鱼SailfishOS SDK for Windows初体验
  8. 【实战讲解】使用 Linux alias 为命令设置别名,设置永久别名
  9. 微信小程序如何调用腾讯地图进行定位的简单方法
  10. 2021-2022学年广州市南武中学七年级第一学期期中考试英语试题