phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析(7)

PowerShell还原解密方式:

$Base64Bytes = Get-Content (base64.txt) $PEBytes= [System.Convert]::FromBase64String($Base64Bytes) Set-Content calc.exe -Value $PEBytes

C#还原解密方式：

using System; using System.IO; using System.Collections.Generic; using System.Linq; using System.Text; using System.Threading.Tasks; namespace test1 { class Program { static void Main(string[] args) { byte[] AsBytes = File.ReadAllBytes(@"C: estase64.txt"); String AsBase64String = Convert.FromBase64String(AsBytes); StreamWriter sw = new StreamWriter(@"C: estcalc.exe"); sw.Write(AsBase64String); sw.Close(); } } }

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

这个江西赣州的黑客够专业我喜欢

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

inJoin.ps1 上线地址为117.21.224.222:9898

木马文件名及上线地址如下图所示：

木马文件名字 C&C上线地址归属地
2018.exe 211.149.225.80:3313 中国四川绵阳
cd.exe 114.67.65.156:8081 中国上海京东云
inJoin.ps1 117.21.224.222:9898 中国江西赣州
Index.php 无(黑客后期上传大马，未抓取IP地址) 无

phpStudy远程RCE漏洞复现以及沦陷主机入侵溯源分析

修复建议:

1.前往官网下载phpstudy下载最新版本

2.修改服务器密码，检查系统日志文件，下载安装火绒杀毒软件进行全盘查杀病毒后门，以防生产环境被入侵者留下后门

2.开发人员应该尽量在生产环境中杜绝使用一键部署类型的软件和脚本防止软件留有后门，导致服务器病毒木马入侵

3.关注多一些风险预警平台”微步”/或者关注威胁情报收集的微信公众号”黑鸟“还有就是我的winway-鱼蛋师傅的漏洞挖掘公众号”快识“。

参考:

phpStudy后门简要分析：

数十万PhpStudy用户被植入后门，快来检测你是否已沦为“肉鸡”！:

https://www.freebuf.com/news/topnews/214912.html

杭州警方通报打击涉网违法犯罪暨’净网2019′专项行动战果

https://mp.weixin.qq.com/s/s-5cVTxIJcDfdRjtnEnI0g