Apache 2.4 registra el éxito del comando PHP 200, pero ¿qué está haciendo? POST /?q=die('z!a'.'x'); etc.

Apache 2.4 registra el éxito del comando PHP 200, pero ¿qué está haciendo? POST /?q=die('z!a'.'x'); etc.

Estoy ejecutando un VPS CentOS 7.x con Apache 2.4.29 y PHP 7.0.28 y comencé a ver lo siguiente en mis registros. He protegido php.ini lo mejor que puedo a partir de artículos en línea desde hace un tiempo, pero me pregunto por qué veo un código de estado HTTP de 200 éxito cuando hacen lo siguiente y me pregunto qué está haciendo y cómo evitarlo. ? Lo mejor que puedo decir die()es el equivalente a exit(). ¿Se trata de un exploit de desbordamiento de búfer antiguo y conocido?

Sin embargo, la conclusión es ¿por qué está teniendo éxito y qué daño causó?

[18/Mar/2018:09:57:21 +0000] "POST /?q=die('z!a'.'x');&w=die('z!a'.'x');&e=die('z!a'.'x');&r=die('z!a'.'x');&t=die('z!a'.'x');&y=die('z!a'.'x');&u=die('z!a'.'x');&i=die('z!a'.'x');&o=die('z!a'.'x');&p=die('z!a'.'x');&a=die('z!a'.'x');&s=die('z!a'.'x');&d=die('z!a'.'x');&f=die('z!a'.'x');&g=die('z!a'.'x');&h=die('z!a'.'x');&j=die('z!a'.'x');&k=die('z!a'.'x');&l=die('z!a'.'x');&z=die('z!a'.'x');&x=die('z!a'.'x');&c=die('z!a'.'x');&v=die('z!a'.'x');&b=die('z!a'.'x');&n=die('z!a'.'x');&m=die('z!a'.'x');&eval=die('z!a'.'x');&enter=die('z!a'.'x'); HTTP/1.1" 200 3564

Respuesta1

Esta es una prueba ciega de las vulnerabilidades de las aplicaciones web PHP. Si tiene una aplicación web PHP que de alguna manera ejecuta código desde entradas que no son de confianza, desde cualquiera de los parámetros de consulta proporcionados, entonces el script morirá y se imprimirá z!axen la salida de la página web.

Si esto sucede, el investigador volverá más tarde (tal vez segundos después) para explotar la vulnerabilidad de verdad.

información relacionada