我正在为fail2ban写一套规则,让任何试图强行进入我的系统的人都变得更有趣。 绝大多数尝试都倾向于通过我的web服务器进入phpinfo(),如下所示
GET //pma/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //admin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //dbadmin/config/config.inc.php?p=phpinfo(); HTTP/1.1 GET //mysql/config/config.inc.php?p=phpinfo(); HTTP/1.1 我想知道是否有一个用户试图通过Apache访问phpinfo()的任何有效的理由,因为如果不是,我可以简单地使用,或更具体的正则expression式
GET //[^>]+=phpinfo\(\)
作为消除这些攻击的filter
好吧 – 如果你可以通过这种方式执行phpinfo命令[通过php提供的eval代码的一些漏洞] – 它可以用来下载一些二进制文件并执行它,或者可能包括来自远程服务器的代码。
无论如何 – 如果我是你 – 我不仅会采取行动看到phpinfo在url中,而且任何404由此产生的请求phpmyadmin / pma /其他stream行的网页脚本。
还记得定期扫描用户安装的软件,以避免过时的phpbbs / phpmyadmins和其他软件。 并保护你的服务器 – 看看这里和这里 。