zoukankan      html  css  js  c++  java

  • linux下tmp目录里很多php开头的文件

    cd /tmp; ll -ash;

    51M -rw------- 1 nginx nginx 51M Sep 17 09:33 php3p7FPA
    51M -rw------- 1 nginx nginx 51M Sep 15 15:26 php5jlObl
    43M -rw------- 1 nginx nginx 43M Sep 15 15:15 phpAHqkPv
    50M -rw------- 1 nginx nginx 50M Sep 15 15:08 phpBeg7wS
    88M -rw------- 1 nginx nginx 88M Sep 15 10:36 phpfDaQGu
    53M -rw------- 1 nginx nginx 53M Sep 15 15:07 phpkuEiUc
    122M -rw------- 1 nginx nginx 122M Sep 17 09:28 phpkx1DiL
    82M -rw------- 1 nginx nginx 82M Sep 15 15:16 phpLfc4lt
    42M -rw------- 1 nginx nginx 42M Sep 15 18:48 phpoYCXXK
    51M -rw------- 1 nginx nginx 51M Sep 15 15:10 phpSq1fg5
    62M -rw------- 1 nginx nginx 62M Sep 17 09:02 phpwvzrKE
    26M -rw------- 1 nginx nginx 26M Sep 17 09:38 phpY2SevM
    39M -rw------- 1 nginx nginx 39M Sep 17 09:15 phpYky45z
    43M -rw------- 1 nginx nginx 43M Sep 15 15:13 phpZwgvRa

    不知道是哪里来的,而且已经很久了。查看内容基本都是这样的:

    [root@kermit tmp]# cat phpzpqXze
    GIF89a
    <%
    response.Write(987651234-123498765)
    strURL = Request.Servervariables("url")
    intPos = InstrRev(strURL,"/")
    intStrLen = len(strURL)
    strFileName = Right(strURL,intStrLen-intPos)
    on error resume next
    set fs=Server.CreateObject("Scripting.FileSystemObject")
    fs.DeleteFile(Server.MapPath(".")&"\"&strFileName)
    %>
        这是GIF89a图片头文件欺骗,是一种攻击,GIF89a图形文件是一个根据图形交换格式(GIF)89a版进行格式化之后的图形。而写到这个临时目录说明是通过上传进入到了这个目录,这个文件会怎么执行呢?如果这个图片被存入进了WEB,在浏览器里打开并加载这个图片时就会出现异常,比如编写一个text文件,内容如下:

    GIF89a
    <head>
    <meta http-equiv = "refresh" content ="1;url=http://www.sohu.com/" />  
    </head>
    然后保存成名字:a.gif。再在PHP的WEB目录下创建一个img.php文件,里面写上代码:

    <img src="a.gif">

        然后访问img.php文件,你会看到页面打开后不久就跳转至搜狐网站了,如果a.gif的文件里跳转时再带上一些读取cookies的参数,那么用户的数据就被窃取了!然后PHP在判断这个图片上却显得很弱智。我们使用php里的函数getimagesize读取这张图片,会得到这样的结果:

    Array
    (
    [0] => 2573
    [1] => 26684
    [2] => 1
    [3] => width="2573" height="26684"
    [channels] => 3
    [mime] => image/gif
    )

        结果显示图片的类型是没问题的,只是在尺寸上有些大,但也许这种注入有其它的办法能将尺寸修改成符合你网站需要的,那PHP在接收图片时有什么办法来阻止这种方式呢?既然getimagesize从图片类型上不能阻止,其它的函数:mime_content_type,Fileinfo也没法阻止了。当然如果攻击的脚本像上面这种完全可以从尺寸上阻止,如果脚本能通过,可以考虑重新将图片生成的方法防止含代码图片进入,程序如下:

    //显示php获取的图像信息
print_r(getimagesize('a.gif'));

//如果尺寸合格, 重新创建图像实例
$img = getimagesize('a.gif');
$im  =  imagecreatetruecolor ($img[0], $img[1]);
imagepng ($im ,  './a.'.image_type_to_extension (IMAGETYPE_PNG));
imagedestroy($im);

        这时如果像上面这种脚本上传,重新生成的图片会是一张纯黑图片,也就不存在攻击脚本了。但这样也会带来额外的图片生成开销。
  • 相关阅读:
    一种针对SOA的消息类型架构
    许可方式 到底"非商业用途"意味着什么?
    Windows 7的CMD中 Telnet 无法执行的解决办法
    ASP.NET MVC 2.0 中文正式版发布
    什么是REST?
    架构、框架的区别
    Firefox 火狐下自动刷新的插件 ReloadEvery
    ASP.NET与JQUERY的AJAX文件上传 视频课件+源码Demo
    给吸烟的园友们:一个被烟草行业隐瞒了十年的秘密,烟真不是人吸的
    Echo Server,AsyncSocket,SocketAsyncEvent,SocketAsyncEventArgs,AsyncQueue
  • 原文地址:https://www.cnblogs.com/rsapaper/p/9660622.html
Copyright © 2011-2022 走看看