因PHP漏洞，超过4.5万个中国网站被攻击

　　因PHP漏洞，超过4.5万个中国网站被攻击

　　日前据外媒ZDNet了解，超过4.5万个中国网站受到了试图进入网络服务器的不法分子攻击。

　　此次黑客利用中国网络安全公司VulnSpy在ExploitDB上发布了针对ThinkPHP的概念验证漏洞，该漏洞由于ThinkPHP框架对控制器名没有进行足够的检测，导致在没有开启强制路由的情况下执行任意代码，最终服务器会被GetShell，该漏洞影响ThinkPHP 5.0、ThinkPHP 5.1多个版本。

　　ThinkPHP作为一个快速、兼容而且简单的轻量级国产PHP开发框架，在国内受到非常多的开发者欢迎。

　　根据全网数据统计，使用ThinkPHP的网站多达33万余个，其中大部分集中在国内，约占使用量的75%以上。其中，浙江、北京、广东三省使用量最高，ThinkPHP的使用范围较广，在政府部门、教育行业、商业用途中都备受青睐。由于ThinkPHP是一个开发框架，有大量cms、私人网站在其基础上进行开发，因此此漏洞的影响非常大。

　　因为ThinkPHP的文档仅提供中文版本，所以使用者大部分为中国人，根据搜索引擎Shodan的统计，目前有超过45,800台服务器运行基于ThinkPHP的Web应用程序，可以在线访问。其中，超过40,000个托管在中文IP地址上。

　　Bad Packets LLC的联合创始人Troy Mursch对ZDNet表示，“PoC于12月11日发布，我们在不到24小时后就看到了互联网范围内的扫描监测结果。”

　　此外，Mursch在咨询了大多数这些扫描的起源数据后还发现了一件事“到目前为止，我们看到扫描ThinkPHP安装的唯一主机来自中国或俄罗斯。”

　　其他四家安全公司，F5Labs，GreyNoise，NewSky Security和Trend Micro也报告了类似的扫描监测结果，这些结果在接下来的几天内都在增强。

　　利用新的ThinkPHP漏洞，发起威胁的小组数量也在增加。现在已经掌握了初始攻击者的信息，被一个安全专家命名为“D3c3mb3r”的组织，以及一个使用ThinkPHP漏洞感染Miori IoT恶意软件服务器的组织。

　　Trend Micro公司检测到的最后一组监测信息也表明，ThinkPHP框架可能已被用于构建一些家用路由器和物联网设备的控制面板，因为Miori无法在实际的Linux服务器上正常运行。

　　随着越来越多的威胁组织将了解这种侵入Web服务器的新方法，对中国网站的攻击将会加剧。为了避免造成损失，开发者们应尽快升级ThinkPHP的代码框架至最新版本，防止自己的网站被攻破。