关于ThinkPHP程序框架存在远程命令执行漏洞，致使部门网站遭受攻击

ThinkPHP 框架出现 Bug，致中文网站遭受了一周的攻击

据 ZDNET 报道，有超过 45000 个中国网站由于使用 ThinkPHP 框架受到了攻击。

这些攻击针对的是使用 ThinkPHP 构建的网站，ThinkPHP 是一个中国的 PHP 框架，在中国 Web 开发领域非常受欢迎。

所有攻击都是在中国网络公司 VulnSpy 在 ExploitDB 上发布了 ThinkPHP 的漏洞后开始的，这是一个免费托管验证漏洞代码的网站。

验证漏洞代码利用 ThinkPHP 的 invokeFunction 方法，在底层服务器执行恶意代码。该漏洞可以被远程利用，并且允许攻击者获得对服务器的控制权。

在12月11日，互联网上就开始出现相应的攻击。而且攻击次数在接下来的几点都在不断增加。

利用 ThinkPHP 漏洞就进行攻击的组织也不断增加。现在有：最初的网络攻击者、D3c3mb3r组织、以及使用 ThinkPHP 漏洞感染 Miori IoT 服务的服务器组织。

此外，NewSky Security 还发现有攻击者正在基于 ThinkPHP 站点运行 Microsoft Powershell命令。

D3c3mb3r组织是这些攻击者中团队规模最大的，专门攻击一些使用 ThinkPHP 不被关注的网站。但这个小组并没有做任何特别的事情，他们找到容易受攻击的主机，然后运行一个echo hello d3c3mb3r。

超过 45000个主机被攻击

根据 Shodan 搜索，目前有超过 45800 台机器运行 ThinkPHP 的 Web 网站可访问。其中40000 个 托管在中文 IP 地址上。

这也是为什么受到攻击的网站大部分是中文网站。

随着越来越多组织了解到这种入侵 Web 服务器的方法，对中国网站的攻击也将会不断增加。

F5 实验室还公布 ThinkPHP 漏洞技术分析和验证代码是如何工作的，点击这里查看。

近日，ThinkPHP官方（ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架）发布安全更新，用于修复一个严重的远程代码执行漏洞。此次版本更新主要涉及一个安全更新，由于框架对控制器名没有进行足够的检测，会导致在没有开启强制路由的情况下引发黑客执行远程恶意代码，从而获取权限。

       一、 基本情况

       远程代码执行漏洞是用户通过浏览器提交执行命令，由于服务器端没有针对执行函数做过滤，导致在没有指定绝对路径的情况下就执行命令，可能会允许攻击者通过改变 $PATH或程序执行环境的其他方面来执行一个恶意构造的代码。 

       经过对官方补丁分析，发现该程序未对控制器进行过滤，导致攻击者可以通过引入\符号来调用任意类方法，从而执行任意命令。

       二、 影响范围

       ThinkPHP5.0

       ThinkPHP5.1

       三、 网络安全提示

       针对该情况，请大家及时做好以下三方面的工作：一是及时进行更新升级。目前，ThinkPHP官方已经发布新版本修复了上述漏洞，建议使用ThinkPHP框架的用户及时升级进行防护，具体升级方法详见ThinkPHP官网。二是开展自查。对信息系统开展自查，及时进行问题清零，对重要的数据、文件进行定期备份；三是加强漏洞监测。