5月4日消息，360網(wǎng)站安全檢測平臺發(fā)布橙色安全警報(bào)稱，最新曝光的PHPCGI漏洞已遭黑客攻擊，嚴(yán)重威脅利用CGI模式執(zhí)行PHP的網(wǎng)站服務(wù)器。據(jù)360檢測，國內(nèi)絕大多數(shù)虛擬主機(jī)提供商存在此漏洞，攻擊者只需找到任意一個(gè)PHP文件，即可利用漏洞遠(yuǎn)程執(zhí)行惡意代碼，從而攻陷整臺服務(wù)器。目前，國內(nèi)僅360網(wǎng)站寶(http://wzb.#)可為受漏洞影響的網(wǎng)站提供防御解決方案。

PHPCGI漏洞最早由國外安全研究者于近日公開，其實(shí)際存在的時(shí)間則長達(dá)約8年之久。據(jù)360網(wǎng)站安全工程師介紹，該漏洞是用戶將HTTP請求參數(shù)提交至Apache服務(wù)器，通過mod_cgi模塊交給后端的php-cgi處理，但在執(zhí)行過程中部分字符沒有得到處理，比如空格、等號(=)、減號(-)等。利用這些字符，攻擊者可以向后端的php-cgi解析程序提交惡意數(shù)據(jù)，php-cgi會將這段“數(shù)據(jù)”當(dāng)做php參數(shù)直接執(zhí)行，目前截獲到的攻擊主要利用以下PHP參數(shù)：  

包含本地文件讀取內(nèi)容：

讀取PHP源碼：

直接執(zhí)行任意命令：

通過遠(yuǎn)程包含直接在服務(wù)器上執(zhí)行webshell：

360網(wǎng)站安全檢測平臺分析認(rèn)為，PHPCGI漏洞危害并不僅限于遠(yuǎn)程執(zhí)行代碼，攻擊者還可以定義php的執(zhí)行參數(shù)，使用“-n”后，php.ini中的一些列安全設(shè)置均被繞過。因?yàn)槟壳敖^大部分虛擬主機(jī)的安全還是依靠php自身的安全設(shè)置，遭遇該漏洞攻擊時(shí)將形同虛設(shè)。

截至發(fā)稿前，360網(wǎng)站安全檢測平臺已將PHPCGI漏洞加入了掃描規(guī)則，對注冊網(wǎng)站用戶進(jìn)行緊急專項(xiàng)掃描，并及時(shí)向受漏洞影響的網(wǎng)站管理者發(fā)送報(bào)警通知。此外，相關(guān)網(wǎng)站也可免費(fèi)使用360網(wǎng)站寶服務(wù)，可以有效主動防御黑客針對網(wǎng)站的惡意攻擊。