Как могли использовать уязвимость функции copy() в PHP?

xmoonlight, Ничего толком нет, мне кажется и то повезло увидеть этот запрос в логах, потому что сервер дропбокса ответил ошибкой, почти уверен что до этого были выполнены другие команды которые не попали в лог.

[#date#] [:error] [pid #####] [client 127.0.0.1:#####] PHP Warning:  file_get_contents(https://dl.dropboxusercontent.com/1/view/########/########.jpg): failed to open stream: HTTP request failed! HTTP/1.1 429 This link is temporarily disabled.\r\n in /###/###/###/index.php on line ##
--#date#--  https://raw.githubusercontent.com/###/###.php
Resolving raw.githubusercontent.com (raw.githubusercontent.com)... 151.101.0.133, 151.101.64.133, 151.101.128.133, ...
Connecting to raw.githubusercontent.com (raw.githubusercontent.com)|151.101.0.133|:443... connected.
HTTP request sent, awaiting response... 200 OK
Length: 223978 (219K) [text/plain]
Saving to: '946bc8c74da18fa45fb480e5bac71b0a.php'

     0K .......... .......... .......... .......... .......... 22%  639K 0s
    50K .......... .......... .......... .......... .......... 45% 1.47M 0s
   100K .......... .......... .......... .......... .......... 68% 3.60M 0s
   150K .......... .......... .......... .......... .......... 91% 2.20M 0s
   200K .......... ........                                   100% 15.5M=0.1s

#date# (1.44 MB/s) - '946bc8c74da18fa45fb480e5bac71b0a.php' saved [223978/223978]

ls: cannot access 946bc8c74da18fa45fb480e5bac71b0a: No such file or directory

Как могли использовать уязвимость функции copy() в PHP?

xmoonlight, пробовал с %0 - nginx отвечает 400 Bad Request , ничего далее не происходит.

Может быть поможет, но в момент взлома вызов file_get_contents по логам выдал warning: HTTP request failed! HTTP/1.1 429 This link is temporarily disabled. То есть это сервер дропбокса дал такой ответ. И далее после этого запись от wget о скачивании Shell скрипта с гитхаба

Насчет уязвимости php-fpm - я толком не разобрался конечно, но по логам множественных подобных обращений не было

Как могли использовать уязвимость функции copy() в PHP?

Новые данные. copy() лишь скопировал уже скачанный ранее файл.
Нашли код через который был скачан файл:

$fileName = str_replace("/index.php/", "", $_SERVER["REQUEST_URI"]);
$filePath = "/path/" . $fileName;
$url = "https://dl.dropboxusercontent.com/1/view/" . $fileName;
$file = file_get_contents($url);
if($file){
    file_put_contents($filePath, $file);
}

Есть точная информация что при выполнении этого кода был инициирован вызов wget на другой внешний ресурс. Вопрос как подставить сюда вызов wget ?

Как могли использовать уязвимость функции copy() в PHP?

Проверяли, \r \n \f не перезаписывают изначальный путь, добавляются как обычные строковые символы. Но возможно истина где-то рядом :)

Как могли использовать уязвимость функции copy() в PHP?

Да, пытаюсь найти именно подобный вариант развития событий, попробую проверить