近日，阿里云应急响应中心监测到国内知名PHP环境一键安装包“PhpStudy”遭黑客篡改，其Windows版本自带的php_xmlrpc.dll模块被植入后门。攻击者在请求中构造特定字符串，可实现远程命令执行，控制服务器。
漏洞描述
        黑客通过篡改php_xmlrpc.dll模块，导致用户的请求均会经过特定的后门函数。当满足一定条件时，黑客可以通过自定义头部实现任意代码执行，在用户无感知的情况下窃取用户数据。
影响版本
        PhpStudy多个Windows版本被植入后门
安全建议
        1. 用户通过搜索php_xmlrpc.dll模块中是否包含“eval”等关键字来定位是否存在后门，后门文件包括phpphp-5.4.45ext，php_xmlrpc.dll ，phpphp-5.2.17extphp_xmlrpc.dll 等。若存在请及时卸载后门程序并排查。
        2. 关注PhpStudy官方安全公告，尽量在官网进行下载和更新。



来源：互联网
免责声明：如果侵犯了您的权益，请联系站长（1277306191@qq.com），我们会及时删除侵权内容，谢谢合作！