这是一个创建于 488 天前的主题,其中的信息可能已经有所发展或是发生改变。
放假一回来 客户就打电话来反馈网站无法访问 文件都被加上了.locked 的后缀还有READ_ME9.html的比特币勒索信息
后来查了下是 PHP 爆了严重漏洞 CVE-2024-4577
可以远程执行任意代码影响 Windows 下所有 PHP 版本
建议即时修补漏洞和备份服务器
参考链接 https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/
 | 1 aababc 2024-06-11 11:02:08 +08:00 工作以来从来没用过 windows 的 php 服务,这个大概是啥场景? |
| 3 aababc 2024-06-11 11:13:51 +08:00  3 懂了,视野比较局限,上次他们说用 宝塔 啥的,之前从来没听说过,还被嘲笑了一通 |
 | 6 anzu 2024-06-11 11:28:50 +08:00 via iPhone 昨天收到公司安全部门邮件通知了。 |
 | 7 sparkssssssss 2024-06-11 11:31:42 +08:00 8 @Equiliu 当你知道什么是宝塔后,你就可以反过来嘲笑他了 |
 | 9 b821025551b 2024-06-11 11:46:05 +08:00 2 @Equiliu 现在知道了,是公司生产环境禁止安装的东西。 |
 | 10 kenvix 2024-06-11 12:29:05 +08:00 记得设置好 runtime 的权限,这样能防止被植入 rootkit 。不过相对的 Windows 杀毒也是最容易的,sfc /scannow 就能清掉所有 rootkit |
 | 11 zhengfan2016 2024-06-11 16:27:39 +08:00 @aababc 不懂 linux 的老 phper 会用,我上司就是,生产环境一个 winserver2012 搭配 upupw ,部署在阿里云 |
| 12 aababc 2024-06-11 16:29:38 +08:00 @zhengfan2016 #11 又出现了一个新的名词 upupw |
 | 13 zhaiduo 2024-06-11 16:37:08 +08:00 现在谁还在用 CGI ,都是 FPM |
 | 14 vishun 2024-06-11 16:42:34 +08:00 用 fastcgi 应该没问题吧? |
 | 15 fgt1t5y 2024-06-11 16:54:05 +08:00 via Android 谁还用 cgi 模式,都是 cli 模式 |
 | 20 ShinichiYao 2024-06-11 19:29:16 +08:00 via Android 最烦这种万年老漏洞,很多组件不支持高版本的 php ,老版本的又 EOL 了 |
| 21 ShinichiYao 2024-06-11 19:32:52 +08:00 via Android 不过用公开的攻击方式测了一下并不会触发漏洞,可能是没用 CGI 的关系,也没有特别改过配置 |
 | 22 Equiliu 2024-06-11 19:55:25 +08:00 “那不用的人不知道不行吗” 傻逼问题,已拉黑。 |
 | 23 vibbow 2024-06-11 23:43:28 +08:00 也就是 xampp 的默认配置会被这样利用把。 IIS + FCGI 模式运行的很少会被配置成这样 |
 | 24 JamesMackerel 2024-06-12 09:07:01 +08:00 via iPhone @int80 还是要知道的,知道了之后可以有个防备,以后遇到了赶紧跑,另外还可以嘲笑别人 |
 | 25 lightemper 2024-06-12 13:27:31 +08:00 我的服务器也中招了,之前查了半天没看出啥原因,好在还有备份 |
| 26 ShinichiYao 2024-06-12 13:54:05 +08:00 似乎只有中文和日文 windows 会受影响 |
 | 27 ms17010 2024-06-12 21:38:42 +08:00 很多地方说的是只影响了 8.x 很小部分的 php 版本 没有影响所有版本吧? |
 | 28 shangyu7 2024-06-13 09:16:03 +08:00 刚刚看了一下中招了,被挂了个挖矿脚本,不知道有没有别的问题 |
 | 29 coderzhangsan 2024-06-13 09:53:02 +08:00 @aababc +1 ,被一群人嘲笑,我说就那 1-2 台服务器,自己手动装下环境不就行了,说我不懂效率,还说什么自己搭环境出了问题你负责的了吗?等等之类的话,还让我睁眼看世界,别老以自己为中心,果然如君所言,的确是眼界窄了 |
 | 30 NewYear 2024-06-16 22:16:05 +08:00 @ShinichiYao 不是老漏洞,是本月 6 号修复的,上个月才发现的新漏洞。 @ms17010 没测试,有的文章说 5.X 7.X 8.X 都有影响,只是官方不管了(超过 3 年服务期,不修复) 逼着大家升级 8.X (连 8.0 都不管了,只修补了 8.1 8.2 8.3 ) |
| 31 ShinichiYao 2024-06-17 10:45:05 +08:00 @NewYear 我的意思是这个漏洞存在超过 12 年,所有老版本都受影响,并且官方不管老版本维护了,5.x 7.x 8.x 都受影响,但只有 8.x 才有更新修复 |
| 32 NewYear 2024-06-17 13:08:55 +08:00 @ShinichiYao 确实是,这事逼得我都只能升级自己的程序了,实在是不想改 php 做兼容新版本。。。。 要不是我不懂开发 php 的语言(好像是 C++?),恨不得自己写个补丁把 php 修补了发布出来,5.X+7.X+8.0 也才 11 个版本,就算加上 4.x 也才十几个。毕竟不知道什么时候用得上。 哪怕是修补几个关键版本都好,比如 php5.6 7.4 ,因为其他版本语法基本没什么变化,可以无痛升级。 |
 | 33 limerence1212 2024-06-20 18:02:33 +08:00 自己有个 wordpress 网站跑在 windows7+xampp 上,看到这个文章吓一跳,赶紧停服,暂时迁移到托管服务上。他们提供一键部署 wordpress ,然后用的插件一键迁移的。 迁移过去发现新网站跑不起来了,wordpress 和 php 版本太高了,原来不知道什么插件不支持,还好他们可以切换 php 版本。切换成 7.0 好歹可以跑了。然后从自己机器拷贝全部的老版本 wordpress 文件过去,数据库就没再管,用的一键迁移,好歹成功了。 指望官方修复不可能了,研究了一下,发现好像不是简体中文的 windows 就可以免去漏洞,下一步就是换成英文版 windows7 ,杜绝这个漏洞了。不知道火绒能不能防这个漏洞,多弄几个杀软顶着应该也能凑合用。 |
 | 34 qa2080639 OP @limerence1212 #33 我项目也还是用 PHP7 的 指望官方修复旧版漏洞也不太可能了。现在生产环境全部切到 Linux 以防后面又爆其他漏洞出来 |
 | 35 guugg 2024-07-27 19:21:48 +08:00 为什么用宝塔被嘲笑,我觉得用来做开发环境真的很方便。 vm 虚拟 debian 修改下源。 安装宝塔 关闭它的防火墙。 然后直接在宝塔页面安装各种需要的环境,打开 ssh 下载密钥。丢到本地直连 。 (太省时间了) |
Select Language