入侵php

⑴ phpstudy官网于2016年被入侵，犯罪分子篡改软件并植入后门

杭州警方通报打击涉网违法犯罪暨“净网2019”专项行动战果中提及一起案件，涉及2016年Phpstudy软件被入侵事件。Phpstudy是一款免费的PHP调试环境集成包，集成Apache、PHP、Mysql、phpMyAdmin、ZendOptimizer等软件，为国内近百万PHP学习者和开发者提供服务。2018年12月4日，西湖区公安分局网警大队接到报案，某公司20余台计算机疑似被远程控制，收集账号密码等敏感信息。专案组通过专业技术分析，查明数据回传信息种类、原理方法及存储位置，聘请第三方鉴定机构对软件中的“后门”进行司法鉴定，证实该“后门”具有控制计算机功能。案件涉及马某、杨某、周某等三人，通过“后门”远程控制下载运行脚本，非法收集用户个人信息。警方在2019年1月4日至5日，分别在海南陵水、四川成都、重庆、广东广州抓获7名犯罪嫌疑人，缴获大量涉案物品。犯罪嫌疑人非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组，非法牟利共计600余万元。马某以炫耀个人技巧为目的，非法侵入软件官网，篡改软件安装包内容，植入“后门”。在案件过程中，警方发现马某等人通过分析“盗取”的数据，得到多个境外网站的管理后台账号密码，并通过修改服务器数据的方式实施诈骗。

对于此次事件，服务器密码和用户密码应立即更改，以防密码泄露。希望有经验的表哥提供排除后门的方案，以确保服务器安全。使用Phpstudy的同学可以通过计算软件安装包hash值，与目前官网版本进行比对，确认是否为无后门版本。

⑵ 关于PHP中的webshell

webshell是一种在web环境中存在的命令执行环境，它能被黑客利用入侵网站服务器。webshell实际上是一种后门工具，常以asp、php、jsp或cgi形式存在。黑客入侵网站后，将后门文件混入正常网页文件中，利用浏览器访问这些后门文件，获得命令执行环境，进而控制服务器。

webshell的本质是"web"与"shell"的结合。"web"意味着需要服务器提供web服务，"shell"则意味着获得一定操作权限。入侵者通过webshell对服务器进行操作，以实现控制网站的目的。由于webshell通常以动态脚本形式出现，故有时被称为网站后门工具。

根据使用的技术和功能，webshell可以分为多种类型。其中，eval和assert是常见的两种。eval接受参数并执行PHP代码，而assert通常接受一个参数，在PHP 5.4.8及之后版本可以接受两个参数。

除了eval和assert，还有正则匹配类、文件包含类和回调函数等。随着webshell的检测逐渐严格，开发者不断研发新的变种以提高隐蔽性。例如，通过指定过滤方法为回调（FILTER_CALLBACK）和option为assert，来实现无明显回调的变种。单个参数的变种，以及回调函数或数组变种，都是为了避免直接检测。

为了进一步隐藏webshell，开发者使用混淆、反引号、XOR、加号、函数、chr、session_set_save_handler和引号等技术，以增加检测难度。这些技术使webshell难以被常规检测工具识别。

当webshell被激活后，入侵者可以对网站服务器进行各种操作，包括但不限于修改代码、窃取数据、安装恶意软件等。webshell的使用展示了黑客技术的复杂性和网站安全的重要性。为了提升网站安全，开发人员需要持续学习和更新技术，避免网站被利用。

为了帮助PHPer提升技术能力，提供了一些高级进阶资料，包括但不限于分布式架构、高可扩展性、高性能、高并发、服务器性能优化、TP6、laravel、YII2、Redis、Swoole、Swoft、Kafka、Mysql优化、shell脚本、Docker、微服务、Nginx等知识点。有兴趣的朋友可以获取相关资料，通过学习提升技术水平。