我一直在服务器上收到意外网址的请求.
特别是/ PHPpath / PHP?-d allow_url_include = on -d safe_mode = off -d suhosin.simulation = on -d disable_functions =“”-d open_basedir = none -d auto_prepend_file = PHP:// input -n
这似乎是每几个小时发生一次.
我通过http://www.url-encode-decode.com/运行url,它出来是:
PHPpath/PHP?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions=”” -d open_basedir=none -d auto_prepend_file=PHP://input -n
攻击者在这里试图做什么?
攻击者试图使用
CVE-2012-1823,这只适用于您的PHP在CGI模式下使用(mod_PHP不容易受到此影响).
原文链接:https://www.f2er.com/php/132009.html使用-d参数注入PHP二进制攻击者将禁用PHP可能存在的各种保护机制,并通过使用auto_prepend_file直接执行PHP代码(在处理任何PHP文件之前自动执行PHP代码),而PHP://输入是POST流请求数据.
除非您的Web服务器日志记录是自定义的,否则您可能不会发现POST请求中的攻击者有什么(POST数据没有被正常记录).
检查你的PHP,例如使用这样的脚本:
<?PHP PHPinfo();
PHP版本在第一行,与CVE定义相比.如果您使用的是易受攻击的版本,请尽快更新,也可以在其中查找Server API行,如果不包含CGI的内容,那么您现在应该是安全的,但使用过时的PHP版本并不好.
