V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qa2080639
V2EX  ›  信息安全

一个非常严重的漏洞 Windows 下使用 PHP 的注意

  •  1
     
  •   qa2080639 · 5 天前 · 3467 次点击

    放假一回来 客户就打电话来反馈网站无法访问 文件都被加上了.locked 的后缀还有READ_ME9.html的比特币勒索信息
    后来查了下是 PHP 爆了严重漏洞 CVE-2024-4577
    可以远程执行任意代码影响 Windows 下所有 PHP 版本
    建议即时修补漏洞和备份服务器
    参考链接 https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/

    29 条回复    2024-06-13 09:53:02 +08:00
    aababc
        1
    aababc  
       5 天前
    工作以来从来没用过 windows 的 php 服务,这个大概是啥场景?
    qa2080639
        2
    qa2080639  
    OP
       5 天前
    @aababc #1 接单的 客户提供什么环境就部署什么环境
    aababc
        3
    aababc  
       5 天前   ❤️ 3
    懂了,视野比较局限,上次他们说用 宝塔 啥的,之前从来没听说过,还被嘲笑了一通
    Equiliu
        4
    Equiliu  
       5 天前
    @aababc 不知道宝塔是啥,被嘲笑不冤
    zoharSoul
        5
    zoharSoul  
       5 天前
    @Equiliu #4 我也不知道... 这是 php 的什么东西吗?
    工作好几年都没听说过
    anzu
        6
    anzu  
       5 天前 via iPhone
    昨天收到公司安全部门邮件通知了。
    coolloves
        7
    coolloves  
       5 天前   ❤️ 8
    @Equiliu 当你知道什么是宝塔后,你就可以反过来嘲笑他了
    aababc
        8
    aababc  
       5 天前
    @Equiliu 现在就算是知道了也不会用他,公司好像也没有场景需要用到这个玩意。
    b821025551b
        9
    b821025551b  
       5 天前   ❤️ 2
    @Equiliu 现在知道了,是公司生产环境禁止安装的东西。
    kenvix
        10
    kenvix  
       5 天前
    记得设置好 runtime 的权限,这样能防止被植入 rootkit 。不过相对的 Windows 杀毒也是最容易的,sfc /scannow 就能清掉所有 rootkit
    zhengfan2016
        11
    zhengfan2016  
       4 天前
    @aababc 不懂 linux 的老 phper 会用,我上司就是,生产环境一个 winserver2012 搭配 upupw ,部署在阿里云
    aababc
        12
    aababc  
       4 天前
    @zhengfan2016 #11 又出现了一个新的名词 upupw
    zhaiduo
        13
    zhaiduo  
       4 天前
    现在谁还在用 CGI ,都是 FPM
    vishun
        14
    vishun  
       4 天前
    用 fastcgi 应该没问题吧?
    fgt1t5y
        15
    fgt1t5y  
       4 天前 via Android
    谁还用 cgi 模式,都是 cli 模式
    lucybenz
        16
    lucybenz  
       4 天前
    @aababc 还有一个 phpstudy
    126ium
        17
    126ium  
       4 天前 via Android
    @Equiliu 这是怎样的菜🐔才会用宝塔这种组件
    Equiliu
        18
    Equiliu  
       4 天前
    @126ium 知道并不表示要去用
    int80
        19
    int80  
       4 天前 via Android
    @Equiliu 那不用的人不知道不行吗
    ShinichiYao
        20
    ShinichiYao  
       4 天前 via Android
    最烦这种万年老漏洞,很多组件不支持高版本的 php ,老版本的又 EOL 了
    ShinichiYao
        21
    ShinichiYao  
       4 天前 via Android
    不过用公开的攻击方式测了一下并不会触发漏洞,可能是没用 CGI 的关系,也没有特别改过配置
    Equiliu
        22
    Equiliu  
       4 天前
    “那不用的人不知道不行吗” 傻逼问题,已拉黑。
    vibbow
        23
    vibbow  
       4 天前
    也就是 xampp 的默认配置会被这样利用把。

    IIS + FCGI 模式运行的很少会被配置成这样
    JamesMackerel
        24
    JamesMackerel  
       4 天前 via iPhone
    @int80 还是要知道的,知道了之后可以有个防备,以后遇到了赶紧跑,另外还可以嘲笑别人
    lightemper
        25
    lightemper  
       4 天前
    我的服务器也中招了,之前查了半天没看出啥原因,好在还有备份
    ShinichiYao
        26
    ShinichiYao  
       4 天前
    似乎只有中文和日文 windows 会受影响
    ms17010
        27
    ms17010  
       3 天前
    很多地方说的是只影响了 8.x 很小部分的 php 版本

    没有影响所有版本吧?
    shangyu7
        28
    shangyu7  
       3 天前
    刚刚看了一下中招了,被挂了个挖矿脚本,不知道有没有别的问题
    coderzhangsan
        29
    coderzhangsan  
       3 天前
    @aababc +1 ,被一群人嘲笑,我说就那 1-2 台服务器,自己手动装下环境不就行了,说我不懂效率,还说什么自己搭环境出了问题你负责的了吗?等等之类的话,还让我睁眼看世界,别老以自己为中心,果然如君所言,的确是眼界窄了😅
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2480 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 07:04 · PVG 15:04 · LAX 00:04 · JFK 03:04
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.