# [攻擊] Linux Darlloz ###### tags: `資訊安全` `Darlloz` ## php-cgi (CVE-2012-1823) 主要利用 php-cgi (以 cgi 模式運行的 php) 無法處理缺少 `=` 符號的查詢的漏洞，攻擊會通過 url 輸入含惡意字串的參數來修改 php 配置，並執行任意的程式。 參數可以透過: 1. 用戶請求的 query字串 傳入 2. #!/usr/local/bin/php-cgi -d include_path=/path的方式傳入php-cgi ## 預防 防止被蠕蟲感染，賽門鐵克建議用戶採取以下步驟： 1. 驗證所有設備都已連接到網絡 2. 將他們的軟件更新到最新版本 3. 在他們的設備上可用時更新他們的安全軟件 4. 使設備密碼更強 5. 如果不需要，阻止傳入的 HTTP POST 請求到網關或每個設備上的以下路徑： * /cgi-bin/php * /cgi-bin/php5 * /cgi-bin/php-cgi * /cgi-bin/php.cgi * /cgi-bin/php4 --- 資料來源: [請問 apache error_log 一直有怪 IP 並出現 script not found ...](https://ithelp.ithome.com.tw/questions/10143496) [Linux Worm Targeting Hidden Devices ](https://community.broadcom.com/symantecenterprise/communities/community-home/librarydocuments/viewdocument?DocumentKey=6cc8a697-5c01-45ba-ad5c-599eee0a4678&CommunityKey=1ecf5f55-9545-44d6-b0f4-4e4a7f5f5e68&tab=librarydocuments) [PHP-CGI远程代码执行漏洞（CVE-2012-1823）分析](https://www.leavesongs.com/PENETRATION/php-cgi-cve-2012-1823.html) 重現漏洞: [CVE-2012-1823复现](https://blog.csdn.net/jiyongx/article/details/105220880) [PHP CGI (CVE-2012-1823)](https://jckling.github.io/2020/04/29/Security/PentesterLab/CVE-2012-1823/)