本站服務器經過更換2012版后 網站經常被人拿WEBSHELL篡改文件!
找了半天也找不到漏洞在哪
好在微信好友Carry的幫忙下找出了漏洞,並給出了以下的修改方案
我是根據方案3修復的,
在這里給大家分享下
一、漏洞介紹
漏洞影響 IIS7 及IIS7.5 在使FastCGI方式調用php時,在php.ini里設置cgi.fix_pathinfo=1
使得訪問任意文件URL時,在URL后面添加“/x.php”等字符時,該文件被iis當php文件代碼解析。
如http://127.0.0.1/1.dif的內容如下:
<?php phpinfo(); ?>
復制代碼當訪問http://127.0.0.1/1.dif/1.php 可以看到1.gif里的php代碼被iis解析執行了。 那么“黑客”在具體攻擊網站的時候,先可以通過網站提供的圖片上傳功能(也可以是其他的手段)上傳一個包含了惡意PHP代碼的圖片文件。然后通過上面描敘方法,讓iis解析執行任意惡意的php代碼,控制網站及主機,最終導致網站被“脫庫”、“掛馬”、“植入非法seo鏈接”等等嚴重后果。
【解決方案】
第1種方案:繼續使用FastCGI方式調用PHP,要解決這個安全問題可以在php.ini里設置 cgi.fix_pathinfo=0 ,修改保存后建議重啟iis(注意可能影響到某些應用程序功能)。
第2種方案:使用ISAPI的方式調用PHP。(注意:PHP5.3.10已經摒棄了 ISAPI 方式)
第3種方案:可以使用其他web服務器軟件,如apache等
【實戰解決方案】增強IIS設置
在IIS里找到“處理程序映射”,然后對PHP這一項進行編輯,點擊“請求限制”,把“僅當請求映射至以下內容時才調用處理程序”這個選項勾上即可;
具體操作步驟如下!
1、打開具體網站的php程序映射;
2、查看是否勾選了下圖紅框內的選項,正常是需要勾選上;
3、如果你的php映射沒有勾選,請速度勾選上,不然網站非常危險,用戶上傳一個圖片,就可以拿到web權限;
4、IIS7.5解析漏洞測試結果;
5、設置后解析漏洞測試結果。
服務器安全設置一直都不容忽視,請廣大站長朋友一定要重視。如果你對服務器系統並不熟悉,這里我為大家提供幾點小小的建議,配合之前我提供的一些安全設置方面的帖子、,相信會取得較好的效果。(以下所有全部基於Windows Server)
【最簡單的windows服務器安全設置,仔細做了,你會發現原來真的很有用!】
1、服務器上別裝一些亂七八糟的東西,什么360安全衛士之類的,我經常在一些站長朋友的服務器上看到,建議大家一定要卸載,如果有360安全衛士,我一分鍾可以攻破你服務器並提權,具體原因省略掉。服務器一向是功能越少越安全,用不到的東西請盡量卸載或刪除,比如說DZ的目錄下就不需要ASP腳本執行能力。
2、請一定在服務器上安裝簡單的防火牆軟件,如果是windows2008或2008R2,建議直接使用系統防火牆,功能強大,性能優越。除了常見的80端口和MYSQL、Memcache、3389使用的端口外,如果無特殊需求,建議阻止其他一切端口的進出。
3、服務器上安裝一款安全軟件,推薦Mcafee8.8,通過Mcafee強力阻截危險的入侵。一般情況下我們很少3389登錄服務器,這個時候,我們可以完全全局禁止生成常見后綴的文件,exe\bat\vbs\ini\txt\cmd\com\dll等等,這樣黑客想在你服務器上寫入危險文件就變得非常困難了;再比如說,鎖定部分注冊表項目防止被創建賬戶和提權。