这是一个创建于 1855 天前的主题,其中的信息可能已经有所发展或是发生改变。
信息来源
https://thenextweb.com/dd/2019/10/27/hackers-are-using-a-bug-in-php7-to-remotely-hijack-web-servers/
CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
目前主要影响 Nginx+PHP-FPM 架构的 web 服务器,黑客可以通过在 URL 中附加 shell 命令来进行入侵,不过存在以下几点限制:
1,php-fpm 运行的用户组,如果是普通用户组,可以干很多事情。
2,可能会被防火墙拦截,如果有的话,毕竟要运行的指令通常是防火墙规则里已有的规则。
目前最新发布的 php 版本已经解决了上述问题,建议大家尽快更新。
https://thenextweb.com/dd/2019/10/27/hackers-are-using-a-bug-in-php7-to-remotely-hijack-web-servers/
CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
目前主要影响 Nginx+PHP-FPM 架构的 web 服务器,黑客可以通过在 URL 中附加 shell 命令来进行入侵,不过存在以下几点限制:
1,php-fpm 运行的用户组,如果是普通用户组,可以干很多事情。
2,可能会被防火墙拦截,如果有的话,毕竟要运行的指令通常是防火墙规则里已有的规则。
目前最新发布的 php 版本已经解决了上述问题,建议大家尽快更新。
 |
1
xnode 2019-10-31 11:22:36 +08:00
前排
|
 |
2
rubycedar 2019-10-31 11:24:40 +08:00
fastcgi_split_path_info ^(.+?\.php)(/.*)$; 谁会用这个配置。。。
|
 |
3
whoami9894 2019-10-31 11:42:27 +08:00 via Android
这个洞现实世界里危害有限
|
 |
4
assad 2019-10-31 11:46:23 +08:00
基本无感,根本不用哪个配置
|
 |
5
barbery 2019-10-31 11:48:20 +08:00
谢谢告知,laravel 5.6 之前的官方配置就有 fastcgi_split_path_info 这个东西,先升级一波
|
 |
6
zjsxwc 2019-10-31 11:56:39 +08:00
访问试试有没有把 php 服务器 crash 就知道会不会被利用了
https://<YOUR_SITE>/index.php/%0aAAAAAAAAAAAAAAAAAAAAAAAAAAAA?QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ |
 |
7
Xusually 2019-10-31 12:02:35 +08:00
10 月 24 号的 PHP 更新就修复了这个问题。
现实世界中还是有一些 copy&paste 网上示例配置存在的。 |
 |
8
realpg 2019-10-31 12:02:50 +08:00
好多天了……
|
Select Language