phpstudy后门事件

西湖警方破获一起以马某为首的非法控制计算机信息系统、诈骗案，抓获团伙成员7人，缴获了大量涉案物品，该团伙非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组，非法牟利600余万元；桐庐警方一举捣毁多起团伙开设赌场案，成功捣毁8个犯罪团伙，抓获犯罪嫌疑人50余名，采取刑事强制措施40余名，查扣涉案电脑、手机80余台，银行卡60余张、账本10余本，涉案抽头获利资金400余万元；滨江警方破获一起以闫某为首的侵犯著作权案，查扣大量计算机、手机设备。

杭州警方提醒广大市民：网络安全需上心。网络安全需“内外兼修”，在加强硬件设施防范的基础上，更要学习网络安全常识。不安装来历不明的软件、定期进行安全监测、及时更新“补丁”，避免给不法分子造成可乘之机。网络赌博需当心。网络赌博渗入到人们的日常生活中，参赌者不需要见面，只需操作电脑、手机就可以感受那份财富倏忽来去的刺激。
然而，网络赌博“十赌九骗”，沉溺赌博危害身心健康、家庭幸福，严重者诱发恶性违法犯罪。网络盗版需留心。当下，网络盗版仍然是文化产业挥之不去的“阴霾”，这极大制约了数字文化产业生态的良性发展。但互联网并非法外之地，对组织盗版、参与盗版、传播盗版等违法行为，警方将予以严厉打击。某知名软件持续控制“盗取”信息某后黑手难逃法网Phpstudy软件是国内的一款免费的PHP调试环境的程序集成包，通过集成Apache、PHP、MySQL、phpMyAdmin、ZendOptimizer多款软件一次性安装，无需配置即可直接安装使用，具有PHP环境调试和PHP开发功能，在国内有着近百万PHP语言学习者、开发者用户。
正是这样一款公益性软件，2018年12月4日，西湖区公安分局网警大队接报案称，某公司发现公司内有20余台计算机被执行危险命令，疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。

西湖网警立即对该案立案侦查，并在市网警分局牵头下，组织精干警力成立专案组迅速开展侦查取证工作。

“后门”是如何收集信息的？专案组首先通过专业技术溯源进行分析，查明了数据回传的信息种类、原理方法、存储位置，并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定，鉴定结果是该“后门”文件具有控制计算机的功能，嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。

软件的“后门”是谁放置的？专案组从最直接的获利者下手开展分析。在侦查的过程中，警方发现该服务器域名曾被使用过，通过该渠道抽丝剥茧，层层溯源，最终明确了主要犯罪嫌疑人马某、杨某、周某，并查明三人有大量不明收入和分赃的可疑情况。专案组经过缜密侦查，周全布置，于2019年1月4日至5日，兵分四路，分别在海南陵水、四川成都、重庆、广东广州抓获马某、杨某、谭某、周某某等7名犯罪嫌疑人，现场缴获大量涉案物品，并在嫌疑人的电子设备中找到了直接的犯罪证据。据统计，截止抓获时间，犯罪嫌疑人共非法控制计算机67万余台，非法获取账号密码类、聊天数据类、设备码类等数据10万余组。

犯罪竟然是为了虚荣心？据主要犯罪嫌疑人马某供述，其于2016年编写了“后门”，使用黑客手段非法侵入了软件官网，篡改了软件安装包内容。该“后门”无法被杀毒软件扫描删除，并且藏匿于软件某功能性代码中，极难被发现。
马某此举是想以此方式炫耀其个人技巧，掌握使用者的相关信息。在专案组的侦查过程中，同时发现马某等人通过分析“盗取”的数据，得到了多个境外网站的管理后台账号密码，并通过修改服务器数据的方式实施诈骗，非法牟利共计600余万元。软件制作者及所属公司是否涉案？专案组专程前往安徽合肥，对Phpstudy软件的制作人及所属公司开展调查，并结合犯罪嫌疑人的供述申辩及客观证据，排除了软件作者和所属公司的犯罪嫌疑。公安机关已依法封存扣押了涉案的服务器及电子设备，并督促该软件所属公司对软件进行整改。
目前该案已移送检察院起诉。

修复方式：

面对如此性质恶劣的网络攻击事件，360安全大脑已国内首家完成了针对“PhpStudy后门”的修复支持，能够有效清除和修复该植入“后门”，第一时间守护用户的个人数据及财产安全。