關於ThinkPHP程式框架存在遠端命令執行漏洞，致使部門網站遭受攻擊

ThinkPHP 框架出現 Bug，致中文網站遭受了一週的攻擊

據 ZDNET 報導，有超過 45000 箇中國網站由於使用 ThinkPHP 框架受到了攻擊。

這些攻擊針對的是使用 ThinkPHP 構建的網站，ThinkPHP 是一箇中國的 PHP 框架，在中國 Web 開發領域非常受歡迎。

所有攻擊都是在中國網路公司 VulnSpy 在 ExploitDB 上釋出了 ThinkPHP 的漏洞後開始的，這是一個免費託管驗證漏洞程式碼的網站。

驗證漏洞程式碼利用 ThinkPHP 的 invokeFunction 方法，在底層伺服器執行惡意程式碼。該漏洞可以被遠端利用，並且允許攻擊者獲得對伺服器的控制權。

在12月11日，網際網路上就開始出現相應的攻擊。而且攻擊次數在接下來的幾點都在不斷增加。

利用 ThinkPHP 漏洞就進行攻擊的組織也不斷增加。現在有：最初的網路攻擊者、D3c3mb3r組織、以及使用 ThinkPHP 漏洞感染 Miori IoT 服務的伺服器組織。

此外，NewSky Security 還發現有攻擊者正在基於 ThinkPHP 站點執行 Microsoft Powershell命令。

D3c3mb3r組織是這些攻擊者中團隊規模最大的，專門攻擊一些使用 ThinkPHP 不被關注的網站。但這個小組並沒有做任何特別的事情，他們找到容易受攻擊的主機，然後執行一個echo hello d3c3mb3r。

超過 45000個主機被攻擊

根據 Shodan 搜尋，目前有超過 45800 臺機器執行 ThinkPHP 的 Web 網站可訪問。其中40000 個 託管在中文 IP 地址上。

這也是為什麼受到攻擊的網站大部分是中文網站。

隨著越來越多組織瞭解到這種入侵 Web 伺服器的方法，對中國網站的攻擊也將會不斷增加。

F5 實驗室還公佈 ThinkPHP 漏洞技術分析和驗證程式碼是如何工作的，點選這裡檢視。

近日，ThinkPHP官方（ThinkPHP是一個快速、相容而且簡單的輕量級國產PHP開發框架）釋出安全更新，用於修復一個嚴重的遠端程式碼執行漏洞。此次版本更新主要涉及一個安全更新，由於框架對控制器名沒有進行足夠的檢測，會導致在沒有開啟強制路由的情況下引發黑客執行遠端惡意程式碼，從而獲取許可權。

       一、 基本情況

       遠端程式碼執行漏洞是使用者通過瀏覽器提交執行命令，由於伺服器端沒有針對執行函式做過濾，導致在沒有指定絕對路徑的情況下就執行命令，可能會允許攻擊者通過改變 $PATH或程式執行環境的其他方面來執行一個惡意構造的程式碼。 

       經過對官方補丁分析，發現該程式未對控制器進行過濾，導致攻擊者可以通過引入\符號來呼叫任意類方法，從而執行任意命令。

       二、 影響範圍

       ThinkPHP5.0

       ThinkPHP5.1

       三、 網路安全提示

       針對該情況，請大家及時做好以下三方面的工作：一是及時進行更新升級。目前，ThinkPHP官方已經發布新版本修復了上述漏洞，建議使用ThinkPHP框架的使用者及時升級進行防護，具體升級方法詳見ThinkPHP官網。二是開展自查。對資訊系統開展自查，及時進行問題清零，對重要的資料、檔案進行定期備份；三是加強漏洞監測。