放假一回来 客户就打电话来反馈网站无法访问 文件都被加上了.locked 的后缀还有READ_ME9.html
的比特币勒索信息
后来查了下是 PHP 爆了严重漏洞 CVE-2024-4577
可以远程执行任意代码影响 Windows 下所有 PHP 版本
建议即时修补漏洞和备份服务器
参考链接 https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/
1
aababc 152 天前
工作以来从来没用过 windows 的 php 服务,这个大概是啥场景?
|
3
aababc 152 天前 3
懂了,视野比较局限,上次他们说用 宝塔 啥的,之前从来没听说过,还被嘲笑了一通
|
6
anzu 152 天前 via iPhone
昨天收到公司安全部门邮件通知了。
|
9
b821025551b 152 天前 2
@Equiliu 现在知道了,是公司生产环境禁止安装的东西。
|
10
kenvix 152 天前
记得设置好 runtime 的权限,这样能防止被植入 rootkit 。不过相对的 Windows 杀毒也是最容易的,sfc /scannow 就能清掉所有 rootkit
|
11
zhengfan2016 152 天前
@aababc 不懂 linux 的老 phper 会用,我上司就是,生产环境一个 winserver2012 搭配 upupw ,部署在阿里云
|
12
aababc 152 天前
@zhengfan2016 #11 又出现了一个新的名词 upupw
|
13
zhaiduo 152 天前
现在谁还在用 CGI ,都是 FPM
|
14
vishun 152 天前
用 fastcgi 应该没问题吧?
|
15
fgt1t5y 152 天前 via Android
谁还用 cgi 模式,都是 cli 模式
|
20
ShinichiYao 152 天前 via Android
最烦这种万年老漏洞,很多组件不支持高版本的 php ,老版本的又 EOL 了
|
21
ShinichiYao 152 天前 via Android
不过用公开的攻击方式测了一下并不会触发漏洞,可能是没用 CGI 的关系,也没有特别改过配置
|
22
Equiliu 152 天前
“那不用的人不知道不行吗” 傻逼问题,已拉黑。
|
23
vibbow 152 天前
也就是 xampp 的默认配置会被这样利用把。
IIS + FCGI 模式运行的很少会被配置成这样 |
24
JamesMackerel 151 天前 via iPhone
@int80 还是要知道的,知道了之后可以有个防备,以后遇到了赶紧跑,另外还可以嘲笑别人
|
25
lightemper 151 天前
我的服务器也中招了,之前查了半天没看出啥原因,好在还有备份
|
26
ShinichiYao 151 天前
似乎只有中文和日文 windows 会受影响
|
27
ms17010 151 天前
很多地方说的是只影响了 8.x 很小部分的 php 版本
没有影响所有版本吧? |
28
shangyu7 150 天前
刚刚看了一下中招了,被挂了个挖矿脚本,不知道有没有别的问题
|
29
coderzhangsan 150 天前
@aababc +1 ,被一群人嘲笑,我说就那 1-2 台服务器,自己手动装下环境不就行了,说我不懂效率,还说什么自己搭环境出了问题你负责的了吗?等等之类的话,还让我睁眼看世界,别老以自己为中心,果然如君所言,的确是眼界窄了😅
|
30
NewYear 147 天前
@ShinichiYao
不是老漏洞,是本月 6 号修复的,上个月才发现的新漏洞。 @ms17010 没测试,有的文章说 5.X 7.X 8.X 都有影响,只是官方不管了(超过 3 年服务期,不修复) 逼着大家升级 8.X (连 8.0 都不管了,只修补了 8.1 8.2 8.3 ) |
31
ShinichiYao 146 天前
@NewYear 我的意思是这个漏洞存在超过 12 年,所有老版本都受影响,并且官方不管老版本维护了,5.x 7.x 8.x 都受影响,但只有 8.x 才有更新修复
|
32
NewYear 146 天前
@ShinichiYao
确实是,这事逼得我都只能升级自己的程序了,实在是不想改 php 做兼容新版本。。。。 要不是我不懂开发 php 的语言(好像是 C++?),恨不得自己写个补丁把 php 修补了发布出来,5.X+7.X+8.0 也才 11 个版本,就算加上 4.x 也才十几个。毕竟不知道什么时候用得上。 哪怕是修补几个关键版本都好,比如 php5.6 7.4 ,因为其他版本语法基本没什么变化,可以无痛升级。 |
33
limerence1212 143 天前
自己有个 wordpress 网站跑在 windows7+xampp 上,看到这个文章吓一跳,赶紧停服,暂时迁移到托管服务上。他们提供一键部署 wordpress ,然后用的插件一键迁移的。
迁移过去发现新网站跑不起来了,wordpress 和 php 版本太高了,原来不知道什么插件不支持,还好他们可以切换 php 版本。切换成 7.0 好歹可以跑了。然后从自己机器拷贝全部的老版本 wordpress 文件过去,数据库就没再管,用的一键迁移,好歹成功了。 指望官方修复不可能了,研究了一下,发现好像不是简体中文的 windows 就可以免去漏洞,下一步就是换成英文版 windows7 ,杜绝这个漏洞了。不知道火绒能不能防这个漏洞,多弄几个杀软顶着应该也能凑合用。 |
34
qa2080639 OP @limerence1212 #33 我项目也还是用 PHP7 的 指望官方修复旧版漏洞也不太可能了。现在生产环境全部切到 Linux 以防后面又爆其他漏洞出来
|
35
guugg 106 天前
为什么用宝塔被嘲笑,我觉得用来做开发环境真的很方便。
vm 虚拟 debian 修改下源。 安装宝塔 关闭它的防火墙。 然后直接在宝塔页面安装各种需要的环境,打开 ssh 下载密钥。丢到本地直连 。 (太省时间了) |