危害等级高, phpstudy2016年发布的5.4版本被恶意植入后门,可获取所在服务器信息。
事件概述
杭州公安在9月20日发布的‘杭州警方通报打击涉网违法犯罪暨“净网行动2019”专项行动战果’中提到,2016年发布的phpstudy版本被不法分子恶意植入后门,犯罪嫌疑人在2019年初被公安机关抓获。其利用植入的后门非法控制计算机67万余台,非法获取账号密码类、聊天数据类、设备码类等数据10万余组。
请使用phpstudy的用户尽快对当前所使用的环境进行排查,采取防护措施,避免可能受到的威胁。
参考链接:
https://mp.weixin.qq.com/s/xikzveCJqkKAu1MnMRCYPw
https://mp.weixin.qq.com/s/CqHrDFcubyn_y5NTfYvkQw
影响范围
后门植入版本
phpstudy 5.4
被篡改的软件版本为phpstudy 2016年发布的php5.4版本,如果用户通过非官方网站下载了phpstudy,请自行检查并删除其中的php5.4版本。
防护建议
1、修改所有可能泄露的服务器密码、系统密码。
经过司法鉴定,该后门文件具有控制计算机的功能,且嫌疑人已通过该后门远程下载运行脚本收集用户的数据信息。
2、删除问题版本phpstudy。
软件作者发布声明,称被植入后门版本为phpstudy 2016版本发布的php5.4,如果是通过其它非官方下载站下载的该版本,请自行检查并删除其中的php5.4版本。
3、在官方网站下载phpstudy。
官方已于2019年1月针对被篡改的下载源进行了修复,若有phpstudy下载需求,请前往官方下载站进行下载。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。
关于绿盟科技
北京神州绿盟信息安全科技股份有限公司(简称绿盟科技)成立于2000年4月,总部位于北京。在国内外设有30多个分支机构,为政府、运营商、金融、能源、互联网以及教育、医疗等行业用户,提供具有核心竞争力的安全产品及解决方案,帮助客户实现业务的安全顺畅运行。
基于多年的安全攻防研究,绿盟科技在网络及终端安全、互联网基础安全、合规及安全管理等领域,为客户提供入侵检测/防护、抗拒绝服务攻击、远程安全评估以及Web安全防护等产品以及专业安全服务。
北京神州绿盟信息安全科技股份有限公司于2014年1月29日起在深圳证券交易所创业板上市,股票简称:绿盟科技,股票代码:300369。