PHP環境集成程序包phpStudy被公告疑似遭遇供應鏈攻擊,程序包自帶PHP的php_xmlrpc.dll模塊隱藏有后門。經過分析除了有反向連接木馬之外,還可以正向執行任意php代碼。
影響版本及路徑
通過分析,后門代碼存在于\ext\php_xmlrpc.dll模塊中
phpStudy2016和phpStudy2018自帶的php-5.2.17、php-5.4.45
phpStudy2016路徑
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy2018路徑
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dll
修復
下載:http://downinfo.myhostadmin.net/phpxmlrpc.rar 解壓
復制文件
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
覆蓋原路徑文件即可。
漏洞詳情,及復現&檢測和執行POC腳本詳見:
https://www.cnblogs.com/liliyuanshangcao/p/11584397.html
浙公網安備 33048302000166號