ThinkPHP 框架出现 Bug,致中文网站遭受了一周的攻击

程六金
 程六金
发布于 2018年12月26日
收藏 16

据 ZDNET 报道,有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。

这些攻击针对的是使用 ThinkPHP 构建的网站,ThinkPHP 是一个中国的 PHP 框架,在中国 Web 开发领域非常受欢迎。

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP 的漏洞后开始的,这是一个免费托管验证漏洞代码的网站。

验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法,在底层服务器执行恶意代码。该漏洞可以被远程利用,并且允许攻击者获得对服务器的控制权。

在12月11日,互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

利用 ThinkPHP 漏洞就进行攻击的组织也不断增加。现在有:最初的网络攻击者、D3c3mb3r组织、以及使用 ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。

此外,NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。

D3c3mb3r组织是这些攻击者中团队规模最大的,专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情,他们找到容易受攻击的主机,然后运行一个echo hello d3c3mb3r

超过 45000个主机被攻击

根据 Shodan 搜索,目前有超过 45800 台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP 地址上。

这也是为什么受到攻击的网站大部分是中文网站。

随着越来越多组织了解到这种入侵 Web 服务器的方法,对中国网站的攻击也将会不断增加。

F5 实验室还公布 ThinkPHP 漏洞技术分析和验证代码是如何工作的,点击这里查看。

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:ThinkPHP 框架出现 Bug,致中文网站遭受了一周的攻击
加载中

精彩评论

流年
流年
虽然是老新闻了,但有必要再次声明下:ThinkPHP 12月9 号收到用户的漏洞报告,当天晚上就在 Git 修复了,第二天早上发布了新版,并且在官方博客、微信公众号、微博和QQ群进行了通告。12月12号左右阿里云和腾讯云都发布了安全警告。 至于为什么那么多网站没有及时修复,那是运维的问题了~ 目测还会继续发酵,国内TP网站何止45000个,在官方公告和阿里云通告之后估计已经修复了有三分之一了
老鬼
老鬼

引用来自“我想有个家”的评论

还有人现在还在用3.1,被攻击,活该
不经思考就妄下结论
ThinkPHP 5.x (v5.0.23及v5.1.31以下版本) 远程命令执行漏洞利用(GetShell)
这波天秀
这波天秀

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消
@wxpcjrjgcs TP这么简单的框架都吃不消,那其他框架都不用学了,而且更新快是好事,你看这bug不是一下就修复了
游侠小陆

引用来自“wxpcjrjgcs”的评论

thinkphp版本更新就像玩似的一样快,不停的重构,虽然与时俱进吧,但是让使用者有点吃不消

引用来自“游侠小陆”的评论

哎p对重构然后不支持老系统更新,开发者只能不停的造轮子

引用来自“流年”的评论

重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
不同意,你看laravel把逻辑层放在app文件夹(其实你们以前也是),每次升级都可以完美搞定,开发者修改类和方法等就行,但是却没做到向下兼容,我觉得是框架一开始就没设计好
即将下岗的码农
即将下岗的码农
阿里云在12月10日就提出来了,官方也修复了,现在没必要再黑一波了

最新评论(28

李留威
李留威

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?

引用来自“李留威”的评论

爱用不用,真是多无脑黑

引用来自“彩虹梦”的评论

重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
我回复的是这句 谢谢 这能说 开源中国 做的评论系统 是所有 bbs 里面现在最垃圾的
误伤
彩虹梦
彩虹梦

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?

引用来自“李留威”的评论

爱用不用,真是多无脑黑
重构版本不支持老系统更新,这没什么好奇怪的,在软件行业甚至语言里面很常见的事情,每个版本也都有独立的维护生命周期,官方也不建议开发者盲目升级在建项目或者产品,我们的目的是让产品更好用,而不是一味兼容老系统去修修补补。
我回复的是这句 谢谢 这能说 开源中国 做的评论系统 是所有 bbs 里面现在最垃圾的
火端
火端

引用来自“流年”的评论

虽然是老新闻了,但有必要再次声明下:ThinkPHP 12月9 号收到用户的漏洞报告,当天晚上就在 Git 修复了,第二天早上发布了新版,并且在官方博客、微信公众号、微博和QQ群进行了通告。12月12号左右阿里云和腾讯云都发布了安全警告。 至于为什么那么多网站没有及时修复,那是运维的问题了~ 目测还会继续发酵,国内TP网站何止45000个,在官方公告和阿里云通告之后估计已经修复了有三分之一了
有专门运维的网站,一般都修复了,但是很多网站并没有天天去关注框架更新。我也经常去TP官网,也关注了TP的微信公众号,但是还是错过的更新,因为没有看到说有重大安全更新,以为是小BUG更新,这确实我自己疏忽了。TP是个很不错的框架,也要敢于正视安全问题,有漏洞也不丢脸,有问题咱修复就好。开源中国这篇文章不发出来,也许很多人还不知道这个漏洞,安全第一!
F4NNIU
F4NNIU

引用来自“大前端工程师”的评论

阿里云在12月10日就提出来了,官方也修复了,现在没必要再黑一波了
2018-12-09 下午由用户 ThinkPHP 收到漏洞报告,当天晚上就修复了,第二天(周一)发布了新版。
李留威
李留威

引用来自“彩虹梦”的评论

laravel 迭代升级 有这些问题吗?
爱用不用,真是多无脑黑
codeshif
codeshif
一群碰捧臭脚
彩虹梦
彩虹梦
laravel 迭代升级 有这些问题吗?
朱__朱
朱__朱
官方修复很及时, 所以受影响的主要是批量上线的垃圾网站和安全做的不太好的小公司.

正常公司肯定第一时间跟进更新修复了.

这也提醒开源产品的用户, 一定要关注官方公众号, 及时获取最新动态. 大厂都有专门的安全舆情机制, 基本漏掉公开可以做到秒堵.
盼君勿忘
盼君勿忘

引用来自“流年”的评论

虽然是老新闻了,但有必要再次声明下:ThinkPHP 12月9 号收到用户的漏洞报告,当天晚上就在 Git 修复了,第二天早上发布了新版,并且在官方博客、微信公众号、微博和QQ群进行了通告。12月12号左右阿里云和腾讯云都发布了安全警告。 至于为什么那么多网站没有及时修复,那是运维的问题了~ 目测还会继续发酵,国内TP网站何止45000个,在官方公告和阿里云通告之后估计已经修复了有三分之一了
支持你
开源中国-首席村长
开源中国-首席村长

引用来自“金贞花”的评论

Java是世界上最好的语言~
不,thinkPHP才是!
返回顶部
顶部