【风险预警】phpstudy后门植入事件预警通告

预警编号:NS-2019-0039

2019-09-21

1

事件概述

杭州公安在9月20日发布的‘杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果’中提到，2016年发布的phpstudy版本被不法分子恶意植入后门，犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组。

请使用phpstudy的用户尽快对当前所使用的环境进行排查，采取防护措施，避免可能受到的威胁。

参考链接：

https://mp.weixin.qq.com/s/xikzveCJqkKAu1MnMRCYPw

https://mp.weixin.qq.com/s/CqHrDFcubyn_y5NTfYvkQw

SEE MORE →

2影响范围

后门植入版本

• phpstudy 5.4

被篡改的软件版本为phpstudy 2016年发布的php5.4版本，如果用户通过非官方网站下载了phpstudy，请自行检查并删除其中的php5.4版本。

3防护建议

1、修改所有可能泄露的服务器密码、系统密码。

经过司法鉴定，该后门文件具有控制计算机的功能，且嫌疑人已通过该后门远程下载运行脚本收集用户的数据信息。

2、删除问题版本phpstudy。

软件作者发布声明，称被植入后门版本为phpstudy 2016版本发布的php5.4，如果是通过其它非官方下载站下载的该版本，请自行检查并删除其中的php5.4版本。

3、在官方网站下载phpstudy。

官方已于2019年1月针对被篡改的下载源进行了修复，若有phpstudy下载需求，请前往官方下载站进行下载。

END

作者：绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。