由于这几天云服务器收到两次整改挖矿程序的通知,第一次删除之后,第二天又复活了,所以安装了杀毒软件;杀毒软件记录了操作系统可疑操作,然后就发现PHP CGI在静悄悄的执行脚本。上网百度了一下,得知一个“远程程序代码执行 (CVE-2024-4577) – PHP CGI 参数注入漏洞”,是2024年6月6日才被发现,距离第一次遭入侵(2024年6月10日)很接近,大概率是这个漏洞给了黑客注入挖矿程序的机会。
原文详细可访问:
資安通報:PHP 遠端程式碼執行 (CVE-2024-4577) – PHP CGI 參數注入弱點 | DEVCORE 戴夫寇爾
根据文章,我采取了以下补救措施:
对 XAMPP for Windows 使用者
在撰写本文的当下,XAMPP 尚未针对此漏洞释出相对应的更新安装档,如确认自身的 XAMPP 并无使用到 PHP CGI 之功能,可透过修改下列 Apache Httpd 配置文件以避免暴露在弱点中:
C:\xampp\apache\conf\extra\httpd-xampp.conf
找到相对应的设定行数:
ScriptAlias /php-cgi/ “C:/xampp/php/”
并将其批注:
# ScriptAlias /php-cgi/ “C:/xampp/php/”