V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
qa2080639
V2EX  ›  信息安全

一个非常严重的漏洞 Windows 下使用 PHP 的注意

  •  1
     
  •   qa2080639 · 170 天前 · 4619 次点击
    这是一个创建于 170 天前的主题,其中的信息可能已经有所发展或是发生改变。

    放假一回来 客户就打电话来反馈网站无法访问 文件都被加上了.locked 的后缀还有READ_ME9.html的比特币勒索信息
    后来查了下是 PHP 爆了严重漏洞 CVE-2024-4577
    可以远程执行任意代码影响 Windows 下所有 PHP 版本
    建议即时修补漏洞和备份服务器
    参考链接 https://www.bleepingcomputer.com/news/security/php-fixes-critical-rce-flaw-impacting-all-versions-for-windows/

    35 条回复    2024-07-27 19:21:48 +08:00
    aababc
        1
    aababc  
       170 天前
    工作以来从来没用过 windows 的 php 服务,这个大概是啥场景?
    qa2080639
        2
    qa2080639  
    OP
       170 天前
    @aababc #1 接单的 客户提供什么环境就部署什么环境
    aababc
        3
    aababc  
       170 天前   ❤️ 3
    懂了,视野比较局限,上次他们说用 宝塔 啥的,之前从来没听说过,还被嘲笑了一通
    Equiliu
        4
    Equiliu  
       170 天前
    @aababc 不知道宝塔是啥,被嘲笑不冤
    zoharSoul
        5
    zoharSoul  
       170 天前
    @Equiliu #4 我也不知道... 这是 php 的什么东西吗?
    工作好几年都没听说过
    anzu
        6
    anzu  
       170 天前 via iPhone
    昨天收到公司安全部门邮件通知了。
    coolloves
        7
    coolloves  
       170 天前   ❤️ 8
    @Equiliu 当你知道什么是宝塔后,你就可以反过来嘲笑他了
    aababc
        8
    aababc  
       170 天前
    @Equiliu 现在就算是知道了也不会用他,公司好像也没有场景需要用到这个玩意。
    b821025551b
        9
    b821025551b  
       170 天前   ❤️ 2
    @Equiliu 现在知道了,是公司生产环境禁止安装的东西。
    kenvix
        10
    kenvix  
       170 天前
    记得设置好 runtime 的权限,这样能防止被植入 rootkit 。不过相对的 Windows 杀毒也是最容易的,sfc /scannow 就能清掉所有 rootkit
    zhengfan2016
        11
    zhengfan2016  
       170 天前
    @aababc 不懂 linux 的老 phper 会用,我上司就是,生产环境一个 winserver2012 搭配 upupw ,部署在阿里云
    aababc
        12
    aababc  
       170 天前
    @zhengfan2016 #11 又出现了一个新的名词 upupw
    zhaiduo
        13
    zhaiduo  
       170 天前
    现在谁还在用 CGI ,都是 FPM
    vishun
        14
    vishun  
       170 天前
    用 fastcgi 应该没问题吧?
    fgt1t5y
        15
    fgt1t5y  
       170 天前 via Android
    谁还用 cgi 模式,都是 cli 模式
    lucybenz
        16
    lucybenz  
       170 天前
    @aababc 还有一个 phpstudy
    126ium
        17
    126ium  
       170 天前 via Android
    @Equiliu 这是怎样的菜🐔才会用宝塔这种组件
    Equiliu
        18
    Equiliu  
       169 天前
    @126ium 知道并不表示要去用
    int80
        19
    int80  
       169 天前 via Android
    @Equiliu 那不用的人不知道不行吗
    ShinichiYao
        20
    ShinichiYao  
       169 天前 via Android
    最烦这种万年老漏洞,很多组件不支持高版本的 php ,老版本的又 EOL 了
    ShinichiYao
        21
    ShinichiYao  
       169 天前 via Android
    不过用公开的攻击方式测了一下并不会触发漏洞,可能是没用 CGI 的关系,也没有特别改过配置
    Equiliu
        22
    Equiliu  
       169 天前
    “那不用的人不知道不行吗” 傻逼问题,已拉黑。
    vibbow
        23
    vibbow  
       169 天前
    也就是 xampp 的默认配置会被这样利用把。

    IIS + FCGI 模式运行的很少会被配置成这样
    JamesMackerel
        24
    JamesMackerel  
       169 天前 via iPhone
    @int80 还是要知道的,知道了之后可以有个防备,以后遇到了赶紧跑,另外还可以嘲笑别人
    lightemper
        25
    lightemper  
       169 天前
    我的服务器也中招了,之前查了半天没看出啥原因,好在还有备份
    ShinichiYao
        26
    ShinichiYao  
       169 天前
    似乎只有中文和日文 windows 会受影响
    ms17010
        27
    ms17010  
       168 天前
    很多地方说的是只影响了 8.x 很小部分的 php 版本

    没有影响所有版本吧?
    shangyu7
        28
    shangyu7  
       168 天前
    刚刚看了一下中招了,被挂了个挖矿脚本,不知道有没有别的问题
    coderzhangsan
        29
    coderzhangsan  
       168 天前
    @aababc +1 ,被一群人嘲笑,我说就那 1-2 台服务器,自己手动装下环境不就行了,说我不懂效率,还说什么自己搭环境出了问题你负责的了吗?等等之类的话,还让我睁眼看世界,别老以自己为中心,果然如君所言,的确是眼界窄了😅
    NewYear
        30
    NewYear  
       164 天前
    @ShinichiYao
    不是老漏洞,是本月 6 号修复的,上个月才发现的新漏洞。

    @ms17010
    没测试,有的文章说 5.X 7.X 8.X 都有影响,只是官方不管了(超过 3 年服务期,不修复)
    逼着大家升级 8.X (连 8.0 都不管了,只修补了 8.1 8.2 8.3 )
    ShinichiYao
        31
    ShinichiYao  
       164 天前
    @NewYear 我的意思是这个漏洞存在超过 12 年,所有老版本都受影响,并且官方不管老版本维护了,5.x 7.x 8.x 都受影响,但只有 8.x 才有更新修复
    NewYear
        32
    NewYear  
       164 天前
    @ShinichiYao

    确实是,这事逼得我都只能升级自己的程序了,实在是不想改 php 做兼容新版本。。。。

    要不是我不懂开发 php 的语言(好像是 C++?),恨不得自己写个补丁把 php 修补了发布出来,5.X+7.X+8.0 也才 11 个版本,就算加上 4.x 也才十几个。毕竟不知道什么时候用得上。

    哪怕是修补几个关键版本都好,比如 php5.6 7.4 ,因为其他版本语法基本没什么变化,可以无痛升级。
    limerence1212
        33
    limerence1212  
       161 天前
    自己有个 wordpress 网站跑在 windows7+xampp 上,看到这个文章吓一跳,赶紧停服,暂时迁移到托管服务上。他们提供一键部署 wordpress ,然后用的插件一键迁移的。
    迁移过去发现新网站跑不起来了,wordpress 和 php 版本太高了,原来不知道什么插件不支持,还好他们可以切换 php 版本。切换成 7.0 好歹可以跑了。然后从自己机器拷贝全部的老版本 wordpress 文件过去,数据库就没再管,用的一键迁移,好歹成功了。
    指望官方修复不可能了,研究了一下,发现好像不是简体中文的 windows 就可以免去漏洞,下一步就是换成英文版 windows7 ,杜绝这个漏洞了。不知道火绒能不能防这个漏洞,多弄几个杀软顶着应该也能凑合用。
    qa2080639
        34
    qa2080639  
    OP
       160 天前
    @limerence1212 #33 我项目也还是用 PHP7 的 指望官方修复旧版漏洞也不太可能了。现在生产环境全部切到 Linux 以防后面又爆其他漏洞出来
    guugg
        35
    guugg  
       123 天前
    为什么用宝塔被嘲笑,我觉得用来做开发环境真的很方便。

    vm 虚拟 debian 修改下源。
    安装宝塔 关闭它的防火墙。

    然后直接在宝塔页面安装各种需要的环境,打开 ssh 下载密钥。丢到本地直连 。 (太省时间了)
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   3731 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 10:36 · PVG 18:36 · LAX 02:36 · JFK 05:36
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.