PHP的WEB服务器一键搭建软件有哪些隐患？

作者/来源：新睿云小编发布时间：2019-11-06

现如今服务器搭建的门槛已经越来越低，很多一键安装工具极为便利让我们搭建起自己的网站环境，不过这不也出事了嘛！有安全团队发现有大量的云主机添加了一个“vusr_dx$”隐藏账号，而且也发现了大量云主机存在被异地登录的情况。

Windows 的帐号名称后带着“$”符号时，不会在 net user 命令中显示出帐号信息，是攻击者常用的一种隐藏帐号的方法，一般开发者不会添加这种类型的帐号。

一、入侵手法分析

通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计，发现大多数主机都安装了phpStudy 组件，Web 目录存在 phpinfo 和 phpMyAdmin，且 MySQL 的 root 用户有 50% 为弱口令。由此可以推断可能导致入侵的原因：

用户在自己云主机通过 phpStudy 一键部署 PHP 环境，默认情况下包含 phpinfo 及 phpMyAdmin 并且任何人都可以访问，同时安装的 MySQL 默认口令为弱口令，于是黑客通过 phpMyAdmin 使用弱口令登录 MySQL，接着利用 MySQL 的一些手段获取到系统权限。

常见利用 MySQL 获取系统权限一般有如下几个方式：

1、利用 SELECT “<?system(“$_POST[cmd]);?>” INTO OUTFILE ‘/path/to/webroot’ 语句、或者 general_log 向 Web 目录写入一个 Webshell。由于 phpStudy 的一些原因，其 PHP 进程执行命令后是一个非常高权限的用户（通常为管理员用户或者是 SYSTEM 权限）。

2、利用 MySQL UDF 来进行命令执行。通常利用 UDF 来执行命令的情况有 PHP 低权限但是 MySQL 是高权限的情况，或者是 PHP 用 disable_functions 限制了调用系统命令执行的方式，所以利用 UDF 来绕过 disable_functions。

这两种手法攻击者都有可能使用，由于攻击者是大批量、持续不断的进行入侵操作，可以推断出攻击者必然是使用了脚本来进行攻击的。

攻击分析

通过进一步分析调查发现，最终确认攻击者的攻击手法为利用 MySQL 弱口令登录后，修改 general_log 指向 Web 目录下的 sheep.php 的文件，然后利用 shell 创建帐号。攻击者使用的 SQL 语句如下图所示：

防火墙

sql注入

可见，攻击者是针对性的对于 phpStudy 进行攻击。由于 phpStudy 默认安装的 MySQL 密码为 root / root，且开启在外网 3306 端口，在未设置安全组，或者安全组为放通全端口的情况下，极易受到攻击。

二、应对措施以及解决方案

在新睿云控制台设置ECS的端口防火墙，尽量不要设置无关端口，而是针对性的设置需要外网访问的端口，比如 HTTP 的默认端口 80、RDP 的默认端口 3389；

防火墙安全组设置安全组管理

出入站规则

对于 phpStudy 这种集成环境，在安装结束后应修改 MySQL 密码为强密码，不要使用 root / root 或者 root / 123456 等弱口令；

更多相关文章请看《被DDOS攻击时候如何组织防御？》

上一篇 : arp欺骗是什么？有哪些危害？如何防御？这是全网最全的教程了

下一篇 : ECSHOP电子商城优势介绍