phpStudy隐藏后门预警

0x01:前言

近日，phpStudy被公告疑似遭遇黑客攻击，程序包自带PHP的php_xmlrpc.dll模块隐藏有后门，经网友确认phpStudy2016、phpStudy2018的部分版本有后门，建议使用该版本的用户立即进行安全加固处理。

通过分析，后门代码存在于\ext\php_xmlrpc.dll模块中，至少有2个版本：

用户可以通过搜索php_xmlrpc.dll模块中包含“@eval”关键字快速判断是否是存在后门的版本，命令参考：

findstr /m /s /c:"@eval" *.*

0x02:复现

0x02:预防

phpStudy启动时默认加载php-5.4.45版本的PHP，该版本存在后门，可以从PHP官网下载原始php-5.4.45版本或php-5.2.17版本，替换其中的php_xmlrpc.dll，下载地址：

https://windows.php.net/downloads/releases/archives/php-5.2.17-Win32-VC6-x86.zip
https://windows.php.net/downloads/releases/archives/php-5.4.45-Win32-VC9-x86.zip