+
 新版

ThinkPHP 框架出现 Bug,致中文网站遭受了一周的攻击

据 ZDNET 报道,有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。

这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP 框架,在中国 Web 开发领域非常受欢迎。

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP 的漏洞后开始的,这是一个免费托管验证漏洞代码的网站。

验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法,在底层服务器执行恶意代码。该漏洞可以被远程利用,并且允许攻击者获得对服务器的控制权。

在12月11日,互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

利用 ThinkPHP 漏洞就进行攻击的组织也不断增加。现在有:最初的网络攻击者、D3c3mb3r组织、以及使用 ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。

此外,NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。

D3c3mb3r组织是这些攻击者中团队规模最大的,专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情,他们找到容易受攻击的主机,然后运行一个echo hello d3c3mb3r

超过 45000个主机被攻击

根据 Shodan 搜索,目前有超过 45800 台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP 地址上。

这也是为什么受到攻击的网站大部分是中文网站。

随着越来越多组织了解到这种入侵 Web 服务器的方法,对中国网站的攻击也将会不断增加。

F5 实验室还公布 ThinkPHP 漏洞技术分析和验证代码是如何工作的,点击这里查看。

ThinkPHP 框架出现 Bug,致中文网站遭受了一周的攻击
李留威
李留威
2018-12-29 12:11

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?

引用来自“李留威”的评论

爱用不用,真是多无脑黑

引用来自“彩虹梦”的评论

重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
我回复的是这句 谢谢 这能说 开源中国 做的评论系统 是所有 bbs 里面现在最垃圾的
误伤
回复
举报
彩虹梦
彩虹梦
2018-12-29 11:58

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?

引用来自“李留威”的评论

爱用不用,真是多无脑黑
重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
我回复的是这句 谢谢 这能说 开源中国 做的评论系统 是所有 bbs 里面现在最垃圾的
回复
举报
建伟F4nniu
建伟F4nniu
2018-12-27 09:56

引用来自“大前端工程师”的评论

阿里云在12月10日就提出来了,官方也修复了,现在没必要再黑一波了
2018-12-09 下午由用户 ThinkPHP 收到漏洞报告,当天晚上就修复了,第二天(周一)发布了新版。
回复
举报
李留威
李留威
2018-12-27 09:56

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?
爱用不用,真是多无脑黑
回复
举报
codeshif
codeshif
2018-12-27 03:17
一群碰捧臭脚
回复
举报
彩虹梦
彩虹梦
2018-12-26 22:03
laravel 迭代升级 有这些问题吗?
回复
举报
朱__朱
朱__朱
2018-12-26 20:08
官方修复很及时, 所以受影响的主要是批量上线的垃圾网站和安全做的不太好的小公司.

正常公司肯定第一时间跟进更新修复了.

这也提醒开源产品的用户, 一定要关注官方公众号, 及时获取最新动态. 大厂都有专门的安全舆情机制, 基本漏掉公开可以做到秒堵.
回复
举报
盼君勿忘
盼君勿忘
2018-12-26 19:51

引用来自“流年”的评论

虽然是老新闻了,但有必要再次声明下:ThinkPHP 12月9 号收到用户的漏洞报告,当天晚上就在 Git 修复了,第二天早上发布了新版,并且在官方博客、微信公众号、微博和QQ群进行了通告。12月12号左右阿里云和腾讯云都发布了安全警告。 至于为什么那么多网站没有及时修复,那是运维的问题了~ 目测还会继续发酵,国内TP网站何止45000个,在官方公告和阿里云通告之后估计已经修复了有三分之一了
支持你
回复
举报
osc_2425058
osc_2425058
2018-12-26 14:16

引用来自“金贞花”的评论

Java是世界上最好的语言~
不,thinkPHP才是!
回复
举报
1年1万倍
1年1万倍
2018-12-26 13:17
Java是世界上最好的语言~
回复
举报
君君要上天哈
君君要上天哈
2018-12-26 12:02
很多攻击者也是看了这个漏洞的新闻才知道这个漏洞,趁机攻击。。tp官方修复的速度已经很快了,运维需要第一时间更新。
回复
举报
流年
流年
2018-12-26 11:40

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“游侠小陆”的评论

哎p对重构然后不支持老系统更新,开发者只能不停的造轮子

引用来自“流年”的评论

重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。

引用来自“游侠小陆”的评论

不同意,你看laravel把逻辑层放在app文件夹(其实你们以前也是),每次升级都可以完美搞定,开发者修改类和方法等就行,但是却没做到向下兼容,我觉得是框架一开始就没设计好
这不能证明ThinkPHP就一定要无缝升级,一个轻量级框架没有必要背负太多包袱前行,官方的开发手册也有专门的升级指导章节,对于开发者都不是难事,何况laravel的老版本也一样不能做到无缝升级
回复
举报
游侠小陆
2018-12-26 11:34

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“游侠小陆”的评论

哎p对重构然后不支持老系统更新,开发者只能不停的造轮子

引用来自“流年”的评论

重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
不同意,你看laravel把逻辑层放在app文件夹(其实你们以前也是),每次升级都可以完美搞定,开发者修改类和方法等就行,但是却没做到向下兼容,我觉得是框架一开始就没设计好
回复
举报
这波天秀
这波天秀
2018-12-26 11:33

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“这波天秀”的评论

@wxpcjrjgcs TP这么简单的框架都吃不消,那其他框架都不用学了,而且更新快是好事,你看这bug不是一下就修复了

引用来自“orpherus”的评论

要是学习能力够用,也不会用tp了
@orpherus 学习能力够用,都像你一样,自己写语言了
回复
举报
流年
流年
2018-12-26 11:31

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“游侠小陆”的评论

哎p对重构然后不支持老系统更新,开发者只能不停的造轮子
重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
回复
举报
流年
流年
2018-12-26 11:30
虽然是老新闻了,但有必要再次声明下:ThinkPHP 12月9 号收到用户的漏洞报告,当天晚上就在 Git 修复了,第二天早上发布了新版,并且在官方博客、微信公众号、微博和QQ群进行了通告。12月12号左右阿里云和腾讯云都发布了安全警告。 至于为什么那么多网站没有及时修复,那是运维的问题了~ 目测还会继续发酵,国内TP网站何止45000个,在官方公告和阿里云通告之后估计已经修复了有三分之一了
回复
举报
游侠小陆
2018-12-26 11:01

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消
哎p对重构然后不支持老系统更新,开发者只能不停的造轮子
回复
举报
osc_2425058
osc_2425058
2018-12-26 09:50
在我的服务器上执行:/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=php%20-r%20'phpinfo();'
结果报错:Class index does not exist
回复
举报
李留威
李留威
2018-12-26 09:42
系统禁用敏感函数就没事了
回复
举报
狄工
狄工
2018-12-26 09:25
阿里云在12月10日就提出来了,官方也修复了,现在没必要再黑一波了
回复
举报
osc_566335
osc_566335
2018-12-26 09:12
“丑媳妇终要见家翁”,再丑,也是自己媳妇!
回复
举报
orpherus
orpherus
2018-12-26 09:07

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“这波天秀”的评论

@wxpcjrjgcs TP这么简单的框架都吃不消,那其他框架都不用学了,而且更新快是好事,你看这bug不是一下就修复了
要是学习能力够用,也不会用tp了
回复
举报
l
liaoxuewei
2018-12-26 09:05
什么版本存在问题?怎么解决?
回复
举报
这波天秀
这波天秀
2018-12-26 08:51

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消
@wxpcjrjgcs TP这么简单的框架都吃不消,那其他框架都不用学了,而且更新快是好事,你看这bug不是一下就修复了
回复
举报
wxpcjrjgcs
wxpcjrjgcs
2018-12-26 08:47
thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消
回复
举报
老鬼
老鬼
2018-12-26 08:37

引用来自“我想有个家”的评论

还有人现在还在用3.1,被攻击,活该
不经思考就妄下结论
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)
回复
举报
我想有个家
我想有个家
2018-12-26 08:27
还有人现在还在用3.1,被攻击,活该
回复
举报
回复 @
{{ emoji.type }}
{{emojiItem.symbol}}
热门资讯
Redis 之父发布 DeepSeek V4 Flash 专用推理引擎 ds4
· 05/08 14:47
0 评论
Mojo 编程语言发布 1.0.0b1:像 Python 一样写,像 C++ 一样跑
· 05/09 16:50
3 评论
Linux 基金会年度预算曝光:仅 2.95% 用于 Linux,超 97% 流向别处
· 05/09 16:10
0 评论
Win32 三十年不倒:微软承认 Windows 仍依赖 1990 年代技术根基
白开水不加糖 · 05/09 17:59
2 评论
DeepSeek 大范围开放识图模式:不是 OCR,是真看图说话
· 05/09 14:56
0 评论
终端 AI 编程助手 Reasonix 开源:把 DeepSeek 缓存压榨到极致,长会话成本暴降 80%
· 05/09 11:39
0 评论
统信桌面操作系统 V20(1070u5)正式发布!如意玲珑 Linyaps 应用体验跃升!
深度操作系统 · 05/11 16:26
0 评论
PHP 酝酿二十年来最大许可证变革:全面切换至 3-clause BSD License
· 05/08 15:40
2 评论
停止 Vibe Coding 七个月后,一位开发者决定手写全部代码
· 05/11 10:52
0 评论
curl 之父实测 Anthropic Mythos 模型,扫描 17.6 万 C 代码后仅发现 1 个低危漏洞
· 05/12 16:01
0 评论
删除一条评论

评论删除后,数据将无法恢复

取消
确定
返回顶部
顶部