1.文件指纹对比法
下载官方原版phpstudy安装包,使用Beyond Compare逐文件比对ext目录下的dll模块。重点检查php_xmlrpc.dll的MD5值,2018后门版该文件通常比原版大15-20KB,在十六进制编辑器里搜索"添加`Accept-Encoding: gzip,deflate`和`Accept-Charset: cHJpbnRmKG1kNSgxMjMpKTs=`(base64加密的验证指令)。观察返回内容是否包含md5(123)的加密结果"202cb962ac59075b"即确认后门激活。
3.进程监控追踪术
安装Process Monitor监控系统进程,过滤php-cgi.exe的网络活动。当发现非常规连接20123/40125端口,或频繁访问360se、down.360se等域名时,立即用netstat -ano定位发起进程对应的PID。
4.日志异常行为分析
在Apache日志中筛查非常规User-Agent请求,重点关注单IP高频访问xmlrpc路径的记录。后门常伪装成百度爬虫(Baiduspider)或空UA,配合`grep 'POST /xmlrpc.php' access.log | awk '{print $1}' | sort | uniq -c`统计可疑IP。
5.动态调试检测方案
用xDebug附加php-cgi进程,在php_xmlrpc.dll的0x100031F0地址设断点。当触发包含`Accept-Encoding: compress,gzip`的请求时,观察栈调用中是否出现gzuncompress解密流程,该函数会释放隐藏的TCP反向连接代码。
6.权限矩阵排查法
执行`icacls PHPTutorial""php""php-5.*""ext""php_xmlrpc.dll`检查DLL权限,后门版本通常被添加了Everyone用户的完全控制权。同时用`dir /T:W`查看文件修改时间,非升级时段的变更需重点审查。
7.沙箱行为检测
在虚拟机运行可疑环境,使用Wireshark抓包并开启防火墙日志。当发现php-cgi.exe主动外联23/20123端口,或尝试下载`/down/update.txt`等非常规路径时,即可判定存在反向连接后门。


登录后方可查看联系方式