很多程序员或者运维(非大牛级别)或多或少都会用一个产品(PS:此处说的是php的)PhpStudy。因为他快,方便,部署简单等特点被很多人广泛使用。但是往往这类产品用的人多了,不法分子会钻空子来攻击服务器。今天小编就将这个可能会出现的漏洞问题给大家展示一下。只有知道漏洞出在什么地方,服务器安全才能做得好!
一:数据库弱口令
发现phpstudy利用弱口令可直接拿数据库,getshell,从而拿服务器。千万不要小看这个漏洞,比如:打开百度搜索:phpStudy探针你会发现以下情况:
随便的点击一个:
再次,如果初始化的时候没有重新设置密码,则root账户可能是免密登录或者是root和root。
这个漏洞太可怕了。黑客如果利用到了这个服务器还不分分钟拿下!
登录成功后可以在数据库里执行一句话木马。
然后就不多说了。这是一个大漏洞!执行了一句话或者用XXX刀连接服务器就成了别人家的了。
二:暴露路径
PhpStudy还有一个漏洞,就是爆出路径。可能很多人都对这个觉得莫名其妙
根据探针找到了phpmyadmin的入口。一旦找到phpmyadmin的管理页面,再访问该目录下的某些特定文件,就很有可能爆出物理路径。至于phpmyadmin的地址可以用扫描工具去扫,也可以选择google。PS:有些BT网站会写成phpMyAdmin。
1./phpmyadmin/libraries/lect_lang.lib.php
2./phpMyAdmin/index.php?lang[]=1
3./phpMyAdmin/phpinfo.php
4.load_file()
5./phpmyadmin/themes/darkblue_orange/layout.inc.php
6./phpmyadmin/libraries/select_lang.lib.php
7./phpmyadmin/libraries/lect_lang.lib.php
8./phpmyadmin/libraries/mcrypt.lib.php
三:后门事件
事件经过:
年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机被执行危险命令,疑似远程控制抓取账号密码等计算机数据回传大量敏感信息。通过专业技术溯源进行分析,查明了数据回传的信息种类、原理方法、存储位置,并聘请了第三方鉴定机构对软件中的“后门”进行司法鉴定,鉴定结果是该“后门”文件具有控制计算机的功能,嫌疑人已通过该后门远程控制下载运行脚本实现收集用户个人信息。在年9月20日,网上爆出phpstudy存在“后门”!
此次影响的版本:phpstudy版PHP5.4,phpstudy版php-5.2.17和php-5.4.45
通过分析,后门代码存在于\ext\php_xmlrpc.dll模块中
phpStudy和phpStudy自带的php-5.2.17、php-5.4.45
phpStudy路径
php\php-5.2.17\ext\php_xmlrpc.dll
php\php-5.4.45\ext\php_xmlrpc.dll
phpStudy路径
PHPTutorial\php\php-5.2.17\ext\php_xmlrpc.dll
PHPTutorial\php\php-5.4.45\ext\php_xmlrpc.dl
用notepad打开此文件查找
eval,文件存在eval(%s(‘%s’))证明漏洞存在!
脚本验证一下(本地跑一把):
嗷嚎~
实锤了,没错了。
鉴于以上,小编觉得互联网在网络安全这块任重而道远呀。使用PhpStudy的大神们建议还是修改默认密码,删掉探针和phpmyadmin之类的入口吧。还有就是刚刚提到的后门,一定要删除。可能还有别的漏洞,就不一一细说了。最后小编提醒大家遵守网络安全浏览原则。也提醒运维人员细心点
