这是一个创建于 2173 天前的主题,其中的信息可能已经有所发展或是发生改变。
信息来源
https://thenextweb.com/dd/2019/10/27/hackers-are-using-a-bug-in-php7-to-remotely-hijack-web-servers/
CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
目前主要影响 Nginx+PHP-FPM 架构的 web 服务器,黑客可以通过在 URL 中附加 shell 命令来进行入侵,不过存在以下几点限制:
1,php-fpm 运行的用户组,如果是普通用户组,可以干很多事情。
2,可能会被防火墙拦截,如果有的话,毕竟要运行的指令通常是防火墙规则里已有的规则。
目前最新发布的 php 版本已经解决了上述问题,建议大家尽快更新。
https://thenextweb.com/dd/2019/10/27/hackers-are-using-a-bug-in-php7-to-remotely-hijack-web-servers/
CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
目前主要影响 Nginx+PHP-FPM 架构的 web 服务器,黑客可以通过在 URL 中附加 shell 命令来进行入侵,不过存在以下几点限制:
1,php-fpm 运行的用户组,如果是普通用户组,可以干很多事情。
2,可能会被防火墙拦截,如果有的话,毕竟要运行的指令通常是防火墙规则里已有的规则。
目前最新发布的 php 版本已经解决了上述问题,建议大家尽快更新。
 | 1 xnode 2019-10-31 11:22:36 +08:00 前排 |
 | 2 rubycedar 2019-10-31 11:24:40 +08:00 fastcgi_split_path_info ^(.+?\.php)(/.*)$; 谁会用这个配置。。。 |
 | 3 whoami9894 2019-10-31 11:42:27 +08:00 via Android 这个洞现实世界里危害有限 |
 | 4 assad 2019-10-31 11:46:23 +08:00 基本无感,根本不用哪个配置 |
 | 5 barbery 2019-10-31 11:48:20 +08:00 谢谢告知,laravel 5.6 之前的官方配置就有 fastcgi_split_path_info 这个东西,先升级一波 |
 | 6 zjsxwc 2019-10-31 11:56:39 +08:00 访问试试有没有把 php 服务器 crash 就知道会不会被利用了 https://<YOUR_SITE>/index.php/%0aAAAAAAAAAAAAAAAAAAAAAAAAAAAA?QQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQQ |
 | 7 Xusually 2019-10-31 12:02:35 +08:00 10 月 24 号的 PHP 更新就修复了这个问题。 现实世界中还是有一些 copy&paste 网上示例配置存在的。 |
 | 8 realpg PRO 好多天了…… |
Select Language