WEB服务器：PHP的WEB服务器一键搭建软件有哪些隐患

现如今服务器搭建的门槛已经越来越低，很多一键安装工具极为便利让我们搭建起自己的网站环境，不过这不也出事了嘛！有安全团队发现有大量的云主机添加了一个“vusr_dx$”隐藏账号，而且也发现了大量云主机存在被异地登录的情况。

Windows 的帐号名称后带着“$”符号时，不会在 net user 命令中显示出帐号信息，是攻击者常用的一种隐藏帐号的方法，一般开发者不会添加这种类型的帐号。

一、入侵手法分析

通过对所有被入侵并添加“vusr_dx$”隐藏帐号的主机进行分析统计，发现大多数主机都安装了phpStudy 组件，Web 目录存在 phpinfo 和 phpMyAdmin，且 MySQL 的 root 用户有 50% 为弱口令。由此可以推断可能导致入侵的原因：

用户在自己云主机通过 phpStudy 一键部署 PHP 环境，默认情况下包含 phpinfo 及 phpMyAdmin 并且任何人都可以访问，同时安装的 MySQL 默认口令为弱口令，于是黑客通过 phpMyAdmin 使用弱口令登录 MySQL，接着利用 MySQL 的一些手段获取到系统权限。

常见利用 MySQL 获取系统权限一般有如下几个方式：

1、利用 SELECT “” INTO OUTFILE ‘/path/to/webroot’ 语句、或者 general_log 向 Web 目录写入一个 Webshell。由于 phpStudy 的一些原因，其 PHP 进程执行命令后是一个非常高权限的用户。

2、利用 MySQL UDF 来进行命令执行。通常利用 UDF 来执行命令的情况有 PHP 低权限但是 MySQL 是高权限的情况，或者是 PHP 用 disable_functions 限制了调用系统命令执行的方式，所以利用 UDF 来绕过 disable_functions。

这两种手法攻击者都有可能使用，由于攻击者是大批量、持续不断的进行入侵操作，可以推断出攻击者必然是使用了脚本来进行攻击的。

通过进一步分析调查发现，最终确认攻击者的攻击手法为利用 MySQL 弱口令登录后，修改 general_log 指向 Web 目录下的 sheep.php 的文件，然后利用 shell 创建帐号。攻击者使用的 SQL 语句如下图所示：

可见，攻击者是针对性的对于 phpStudy 进行攻击。由于 phpStudy 默认安装的 MySQL 密码为 root / root，且开启在外网 3306 端口，在未设置安全组，或者安全组为放通全端口的情况下，极易受到攻击。

二、应对措施以及解决方案

在本公司控制台设置ECS的端口防火墙，尽量不要设置无关端口，而是针对性的设置需要外网访问的端口，比如 HTTP 的默认端口 80、RDP 的默认端口 3389；

对于 phpStudy 这种集成环境，在安装结束后应修改 MySQL 密码为强密码，不要使用 root / root 或者 root / 123456 等弱口令；

更多相关文章请看《被DDOS攻击时候如何组织防御？》

【详解Linux上svn命令行批量操作】【配置命令】【棋牌游戏怎么挑选高防主机】【虚拟机解决方法】【主机公司】【详解如何在docker容器中捕获信号】【内核编译】【在IDEA中使用Linux命令的操作方法】【容器镜像】【安装图文】【搭建安装】【香港主机为什么好】【如何在租用主机前进行速度的测试呢】【香港高防云主机靠谱吗】【香港VPS主机优势与推荐】【图床主机租用香港主机合适吗】【免备案高防cdn节点解决海外网站安全问题】【各大站长与企业对于香港云主机应该怎么选择】【数据中心管理人员】【租用服务器时带宽怎么选择】

版权声明：本站部分内容来源于网友推荐、互联网收集整理而来，仅供学习参考，不代表本站立场，如有内容涉嫌侵权，请联系alex-e#qq.com处理。