主页 / server / 问题 / 424798
Accepted
garconcn
Asked: 2012-09-06 21:01:11 +0800 CST

有人试图破解我的网站,想了解日志

  • 772

我在 CentOS 6 上有一个 wordpress 站点。看到下面的访问日志后,我检查了服务器,似乎没问题。谁能解释一下这个人想做什么?他们得到他们想要的了吗?

我已禁用 allow_url_include,并将 open_basedir 限制为 web 目录和 tmp(/etc 不在路径中)。

190.26.208.130 - - [05/Sep/2012:21:24:42 -0700] "POST http://my_ip/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n/?-d%20allow_url_include%3DOn+-d%20auto_prepend_file%3D../../../../../../../../../../../../etc/passwd%00%20-n HTTP/1.1" 200 32656 "-" "Mozilla/5.0"

hacking

1 个回答

  1. Best Answer

    首先看一下CVE-2012-1823

    上面的 URL 被解码为:

    http://my_ip/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n/?-d allow_url_include=On+-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n

    ?-d allow_url_include=On: 他正试图在 php-cgi 调用中添加一个额外的参数:

    $ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
       php <file> [args...]
  -d foo[=bar]     Define INI entry foo with value 'bar'

    +-d auto_prepend_file=../../../../../../../../../../../../etc/passwd� -n: 然后将他的文件作为要执行的代码添加到前面。不知道他为什么在这里使用路径遍历攻击而不是使用他的代码或php://input.

    -n最后否定php.ini

    $ php-cgi -h
Usage: php [-q] [-h] [-s] [-v] [-i] [-f <file>]
       php <file> [args...]
  -n               No php.ini file will be used

    PS:如果您没有将 PHP 作为 CGI 脚本运行,则无需担心。

    • 4

相关问题