最近鬧得沸沸揚揚的漏洞當屬“PHP CGI Windows平臺遠程代碼執(zhí)行漏洞（CVE-2024-4577）”，該漏洞可以執(zhí)行任意代碼，且自 5.x 以來所有版本均受影響，非�？植�！

經(jīng)過研究分析，護衛(wèi)神安全團隊發(fā)現(xiàn)，該漏洞是利用WebServer對個別特殊字符過濾不嚴引起的。具體的分析過程由于風險原因，我們無法對外公布，敬請諒解！

下面我們講解如何在不升級PHP版本的情況下，杜絕該漏洞。當然，PHP5.x也沒法升級新版本。

一、官方建議方案

PHP項目維護團隊已經(jīng)發(fā)布新補丁，修復(fù)了存在于 PHP for Windows 中的遠程代碼執(zhí)行（RCE）漏洞，并敦促用戶盡快更新至 6 月 6 日發(fā)布的 8.3.8、8.2.20 以及 8.1.29 版本。

那么問題來了，PHP5和PHP7怎么辦呢？顯然官方?jīng)]有給出解決辦法。

二、護衛(wèi)神建議方案

護衛(wèi)神安全團隊給出的方案是“杜絕特殊字符、限制PHP訪問權(quán)限”，從根本上解決問題。無需升級PHP版本，解決PHP5.x、PHP7.x沒有新版本的難題。

要實施該方案，需要使用一款名為“護衛(wèi)神·防入侵系統(tǒng)”的軟件，軟件地址：http://www.smartrecovery.cn/soft/frq/

通過該軟件的“進程防護”模塊，限制PHP的文件訪問權(quán)限；再通過“網(wǎng)站防護”模塊，杜絕特殊字符訪問。

下面我們就開始部署吧。

1、杜絕特殊字符訪問

進入“防入侵面板->網(wǎng)站防護->黑白名單->URL黑白名單-URL黑名單”，添加兩條規(guī)則：

?%ad
?-

如下圖：

2、限制PHP訪問權(quán)限

進入“防入侵面板->進程防護”，系統(tǒng)內(nèi)置了一條進程路徑為“*\php-cgi.exe”的防護規(guī)則（如下圖）。

點擊“更改”，進入“文件訪問”選項。先刪除存在的“訪問路徑”規(guī)則，并按下述建議順序添加。

添加規(guī)則1：

訪問路徑：*\temp\*

操作限制：禁止執(zhí)行

優(yōu)先級：10

添加規(guī)則2：

訪問路徑：網(wǎng)站目錄（注意根據(jù)實際路徑填寫，本文示例為d:\wwwroot\目錄）

操作限制：禁止執(zhí)行

優(yōu)先級：10

添加規(guī)則3：

訪問路徑：*\conhost.exe

操作限制：禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：80

添加規(guī)則4：

訪問路徑：*\werfault.exe

操作限制：禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：80

添加規(guī)則5：

訪問路徑：*

操作限制：禁止執(zhí)行、禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：99

文件訪問規(guī)則就添加完成了！

3、添加篡改防護策略

通過上述操作，限制了PHP的訪問權(quán)限，但對網(wǎng)站還是開放了更改和刪除權(quán)限，仍然存在危險，因此還需要通過“篡改防護”模塊，對每個網(wǎng)站配置防篡改策略。

進入“防入侵面板->篡改防護->添加CMS防護”。選擇網(wǎng)站路徑，再選擇匹配的安全模板（可以點擊“自動識別”進行自動匹配），點擊“確定”，系統(tǒng)就自動配置好防篡改策略，是不是很簡單。

注意每個網(wǎng)站都需要添加防篡改策略。如果沒有與您網(wǎng)站相匹配的模板，請聯(lián)系護衛(wèi)神官方添加。

至此，不升級PHP版本，解決PHP遠程代碼執(zhí)行漏洞（CVE-2024-4577）的方案，已經(jīng)成功部署完成，再也不擔心黑客入侵了！

如果您有服務(wù)器和網(wǎng)站安全等相關(guān)問題，請聯(lián)系護衛(wèi)神（www.smartrecovery.cn），護衛(wèi)神竭誠為您服務(wù)！