入侵php

⑴ phpstudy官網於2016年被入侵，犯罪分子篡改軟體並植入後門

杭州警方通報打擊涉網違法犯罪暨「凈網2019」專項行動戰果中提及一起案件，涉及2016年Phpstudy軟體被入侵事件。Phpstudy是一款免費的PHP調試環境集成包，集成Apache、PHP、Mysql、phpMyAdmin、ZendOptimizer等軟體，為國內近百萬PHP學習者和開發者提供服務。2018年12月4日，西湖區公安分局網警大隊接到報案，某公司20餘台計算機疑似被遠程式控制制，收集賬號密碼等敏感信息。專案組通過專業技術分析，查明數據回傳信息種類、原理方法及存儲位置，聘請第三方鑒定機構對軟體中的「後門」進行司法鑒定，證實該「後門」具有控制計算機功能。案件涉及馬某、楊某、周某等三人，通過「後門」遠程式控制制下載運行腳本，非法收集用戶個人信息。警方在2019年1月4日至5日，分別在海南陵水、四川成都、重慶、廣東廣州抓獲7名犯罪嫌疑人，繳獲大量涉案物品。犯罪嫌疑人非法控制計算機67萬余台，非法獲取賬號密碼類、聊天數據類、設備碼類等數據10萬余組，非法牟利共計600餘萬元。馬某以炫耀個人技巧為目的，非法侵入軟體官網，篡改軟體安裝包內容，植入「後門」。在案件過程中，警方發現馬某等人通過分析「盜取」的數據，得到多個境外網站的管理後台賬號密碼，並通過修改伺服器數據的方式實施詐騙。

對於此次事件，伺服器密碼和用戶密碼應立即更改，以防密碼泄露。希望有經驗的表哥提供排除後門的方案，以確保伺服器安全。使用Phpstudy的同學可以通過計算軟體安裝包hash值，與目前官網版本進行比對，確認是否為無後門版本。

⑵ 關於PHP中的webshell

webshell是一種在web環境中存在的命令執行環境，它能被黑客利用入侵網站伺服器。webshell實際上是一種後門工具，常以asp、php、jsp或cgi形式存在。黑客入侵網站後，將後門文件混入正常網頁文件中，利用瀏覽器訪問這些後門文件，獲得命令執行環境，進而控制伺服器。

webshell的本質是"web"與"shell"的結合。"web"意味著需要伺服器提供web服務，"shell"則意味著獲得一定操作許可權。入侵者通過webshell對伺服器進行操作，以實現控制網站的目的。由於webshell通常以動態腳本形式出現，故有時被稱為網站後門工具。

根據使用的技術和功能，webshell可以分為多種類型。其中，eval和assert是常見的兩種。eval接受參數並執行PHP代碼，而assert通常接受一個參數，在PHP 5.4.8及之後版本可以接受兩個參數。

除了eval和assert，還有正則匹配類、文件包含類和回調函數等。隨著webshell的檢測逐漸嚴格，開發者不斷研發新的變種以提高隱蔽性。例如，通過指定過濾方法為回調（FILTER_CALLBACK）和option為assert，來實現無明顯回調的變種。單個參數的變種，以及回調函數或數組變種，都是為了避免直接檢測。

為了進一步隱藏webshell，開發者使用混淆、反引號、XOR、加號、函數、chr、session_set_save_handler和引號等技術，以增加檢測難度。這些技術使webshell難以被常規檢測工具識別。

當webshell被激活後，入侵者可以對網站伺服器進行各種操作，包括但不限於修改代碼、竊取數據、安裝惡意軟體等。webshell的使用展示了黑客技術的復雜性和網站安全的重要性。為了提升網站安全，開發人員需要持續學習和更新技術，避免網站被利用。

為了幫助PHPer提升技術能力，提供了一些高級進階資料，包括但不限於分布式架構、高可擴展性、高性能、高並發、伺服器性能優化、TP6、laravel、YII2、Redis、Swoole、Swoft、Kafka、Mysql優化、shell腳本、Docker、微服務、Nginx等知識點。有興趣的朋友可以獲取相關資料，通過學習提升技術水平。