关于PHP调试环境的程序集成包Phpstudy后门高风险预警

一、概要

近日，华为云安全团队关注到国内知名PHP调试环境程序集成包Phpstudy遭到黑客篡改，其php_xmlrpc.dll模块中存在隐藏后门，攻击者利用该后门可实现远程代码执行，控制服务器。

参考链接：

https://cert.360.cn/warning/detail?id=928ff5df86b5f6b819d56aeabf2d0546

二、威胁级别

威胁级别：【严重】

（说明：威胁级别共四级：一般、重要、严重、紧急）

三、影响范围

目前已知受影响Windows版本如下：

Phpstudy 2016版 php-5.4

Phpstudy 2018版 php-5.2.17

Phpstudy 2018版 php-5.4.45

四、排查及处置方案

影响排查：

用户可通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门，操作如下：

进入PhpStudy目录，找到php_xmlrpc.dll文件，直接打开并搜索“eval”关键字，若存在“eval”关键字则受影响。

处置方案：

1、修改所有可能泄露的服务器密码、应用系统等密码。

2、尽快备份网站数据，删除受影响的Phpstudy并从官网（https://www.xp.cn/）下载最新版本进行部署。

注：修复漏洞前请将资料备份，并进行充分测试。