关于《PhpStudyBackDoor》风波已经过去有一段时间了,由于,前段时间一直忙于其它事情QAQ,今天有时间对该事件重新回溯深度分析。
*严正声明:本文仅限于技术讨论与分享,严禁用于非法途径
背景分析
年9月20日,杭州市公安局举行新闻通报会,通报今年以来组织开展打击涉网违法犯罪暨“净网”专项行动战果,通报内容中提到国内著名的PHP调试环境程序集成包Phpstudy软件遭受到以马某为首的国内黑客团伙攻击并被植入后门。Phpstudy集成环境包在国内的使用用户逾百万,据悉,此次后门攻击事件可追溯到年,屹今为止累计控制计算机逾67万台,该黑客团伙通过该后门获取的用户信息、各类系统账号信息进一步开展违法行为,累计非法牟利余万元。
影响版本
phpStudy版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll
phpStudy1103版本php5.4.45与php5.2.17ext扩展文件夹下的php_xmlrpc.dll
环境准备
测试环境以“phpStudy1103版本php5.4.45”为例进行分析
ps:目前官方已更新旧版本程序,可自行下载