10秒后自動(dòng)關(guān)閉
PHP遠程代碼執行漏洞(CVE-2024-4577)解決方案(不升級PHP版本)

最近鬧得沸沸揚揚的漏洞當屬“PHP CGI Windows平臺遠程代碼執行漏洞(CVE-2024-4577)”,該漏洞可以執行任意代碼,且自 5.x 以來(lái)所有版本均受影響,非?植!

經(jīng)過(guò)研究分析,護衛神安全團隊發(fā)現,該漏洞是利用WebServer對個(gè)別特殊字符過(guò)濾不嚴引起的。具體的分析過(guò)程由于風(fēng)險原因,我們無(wú)法對外公布,敬請諒解!

下面我們講解如何在不升級PHP版本的情況下,杜絕該漏洞。當然,PHP5.x也沒(méi)法升級新版本。


一、官方建議方案

PHP項目維護團隊已經(jīng)發(fā)布新補丁,修復了存在于 PHP for Windows 中的遠程代碼執行(RCE)漏洞,并敦促用戶(hù)盡快更新至 6 月 6 日發(fā)布的 8.3.8、8.2.20 以及 8.1.29 版本。

那么問(wèn)題來(lái)了,PHP5和PHP7怎么辦呢?顯然官方?jīng)]有給出解決辦法。


二、護衛神建議方案

護衛神安全團隊給出的方案是“杜絕特殊字符、限制PHP訪(fǎng)問(wèn)權限,從根本上解決問(wèn)題。無(wú)需升級PHP版本,解決PHP5.x、PHP7.x沒(méi)有新版本的難題。

要實(shí)施該方案,需要使用一款名為“護衛神·防入侵系統”的軟件,軟件地址:http://www.salesbloggers.com/soft/frq/

通過(guò)該軟件的“進(jìn)程防護”模塊,限制PHP的文件訪(fǎng)問(wèn)權限;再通過(guò)“網(wǎng)站防護”模塊,杜絕特殊字符訪(fǎng)問(wèn)。

下面我們就開(kāi)始部署吧。


1、杜絕特殊字符訪(fǎng)問(wèn)

進(jìn)入“防入侵面板->網(wǎng)站防護->黑白名單->URL黑白名單-URL黑名單,添加兩條規則:

?%ad
?-


如下圖:

image.png



2、限制PHP訪(fǎng)問(wèn)權限

進(jìn)入“防入侵面板->進(jìn)程防護,系統內置了一條進(jìn)程路徑為“*\php-cgi.exe”的防護規則(如下圖)。

未命�?1.jpg


點(diǎn)擊“更改,進(jìn)入“文件訪(fǎng)問(wèn)”選項。先刪除存在的“訪(fǎng)問(wèn)路徑”規則,并按下述建議順序添加。


添加規則1:

訪(fǎng)問(wèn)路徑:*\temp\*

操作限制:禁止執行

優(yōu)先級:10

1.jpg


添加規則2:

訪(fǎng)問(wèn)路徑:網(wǎng)站目錄(注意根據實(shí)際路徑填寫(xiě),本文示例為d:\wwwroot\目錄)

操作限制:禁止執行

優(yōu)先級:10

2.jpg


添加規則3:

訪(fǎng)問(wèn)路徑:*\conhost.exe

操作限制:禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級:80

3.jpg


添加規則4:

訪(fǎng)問(wèn)路徑:*\werfault.exe

操作限制:禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級:80

未命�?4.jpg


添加規則5:

訪(fǎng)問(wèn)路徑:*

操作限制:禁止執行、禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級:99

未命�?5.jpg


文件訪(fǎng)問(wèn)規則就添加完成了!


3、添加篡改防護策略

通過(guò)上述操作,限制了PHP的訪(fǎng)問(wèn)權限,但對網(wǎng)站還是開(kāi)放了更改和刪除權限,仍然存在危險,因此還需要通過(guò)“篡改防護”模塊,對每個(gè)網(wǎng)站配置防篡改策略。

進(jìn)入“防入侵面板->篡改防護->添加CMS防護。選擇網(wǎng)站路徑,再選擇匹配的安全模板(可以點(diǎn)擊“自動(dòng)識別”進(jìn)行自動(dòng)匹配),點(diǎn)擊“確定”,系統就自動(dòng)配置好防篡改策略,是不是很簡(jiǎn)單。

注意每個(gè)網(wǎng)站都需要添加防篡改策略。如果沒(méi)有與您網(wǎng)站相匹配的模板,請聯(lián)系護衛神官方添加。

未命�?6.jpg


至此,不升級PHP版本,解決PHP遠程代碼執行漏洞(CVE-2024-4577)的方案,已經(jīng)成功部署完成,再也不擔心黑客入侵了!

如果您有服務(wù)器和網(wǎng)站安全等相關(guān)問(wèn)題,請聯(lián)系護衛神(www.salesbloggers.com),護衛神竭誠為您服務(wù)!