最近鬧得沸沸揚(yáng)揚(yáng)的漏洞當(dāng)屬“PHP CGI Windows平臺(tái)遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577）”，該漏洞可以執(zhí)行任意代碼，且自 5.x 以來所有版本均受影響，非�？植�！

經(jīng)過研究分析，護(hù)衛(wèi)神安全團(tuán)隊(duì)發(fā)現(xiàn)，該漏洞是利用WebServer對個(gè)別特殊字符過濾不嚴(yán)引起的。具體的分析過程由于風(fēng)險(xiǎn)原因，我們無法對外公布，敬請諒解！

下面我們講解如何在不升級PHP版本的情況下，杜絕該漏洞。當(dāng)然，PHP5.x也沒法升級新版本。

一、官方建議方案

PHP項(xiàng)目維護(hù)團(tuán)隊(duì)已經(jīng)發(fā)布新補(bǔ)丁，修復(fù)了存在于 PHP for Windows 中的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，并敦促用戶盡快更新至 6 月 6 日發(fā)布的 8.3.8、8.2.20 以及 8.1.29 版本。

那么問題來了，PHP5和PHP7怎么辦呢？顯然官方?jīng)]有給出解決辦法。

二、護(hù)衛(wèi)神建議方案

護(hù)衛(wèi)神安全團(tuán)隊(duì)給出的方案是“杜絕特殊字符、限制PHP訪問權(quán)限”，從根本上解決問題。無需升級PHP版本，解決PHP5.x、PHP7.x沒有新版本的難題。

要實(shí)施該方案，需要使用一款名為“護(hù)衛(wèi)神·防入侵系統(tǒng)”的軟件，軟件地址：http://www.fssdbt.cn/soft/frq/

通過該軟件的“進(jìn)程防護(hù)”模塊，限制PHP的文件訪問權(quán)限；再通過“網(wǎng)站防護(hù)”模塊，杜絕特殊字符訪問。

下面我們就開始部署吧。

1、杜絕特殊字符訪問

進(jìn)入“防入侵面板->網(wǎng)站防護(hù)->黑白名單->URL黑白名單-URL黑名單”，添加兩條規(guī)則：

?%ad
?-

如下圖：

2、限制PHP訪問權(quán)限

進(jìn)入“防入侵面板->進(jìn)程防護(hù)”，系統(tǒng)內(nèi)置了一條進(jìn)程路徑為“*\php-cgi.exe”的防護(hù)規(guī)則（如下圖）。

點(diǎn)擊“更改”，進(jìn)入“文件訪問”選項(xiàng)。先刪除存在的“訪問路徑”規(guī)則，并按下述建議順序添加。

添加規(guī)則1：

訪問路徑：*\temp\*

操作限制：禁止執(zhí)行

優(yōu)先級：10

添加規(guī)則2：

訪問路徑：網(wǎng)站目錄（注意根據(jù)實(shí)際路徑填寫，本文示例為d:\wwwroot\目錄）

操作限制：禁止執(zhí)行

優(yōu)先級：10

添加規(guī)則3：

訪問路徑：*\conhost.exe

操作限制：禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：80

添加規(guī)則4：

訪問路徑：*\werfault.exe

操作限制：禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：80

添加規(guī)則5：

訪問路徑：*

操作限制：禁止執(zhí)行、禁止新建、禁止改名、禁止修改、禁止刪除

優(yōu)先級：99

文件訪問規(guī)則就添加完成了！

3、添加篡改防護(hù)策略

通過上述操作，限制了PHP的訪問權(quán)限，但對網(wǎng)站還是開放了更改和刪除權(quán)限，仍然存在危險(xiǎn)，因此還需要通過“篡改防護(hù)”模塊，對每個(gè)網(wǎng)站配置防篡改策略。

進(jìn)入“防入侵面板->篡改防護(hù)->添加CMS防護(hù)”。選擇網(wǎng)站路徑，再選擇匹配的安全模板（可以點(diǎn)擊“自動(dòng)識別”進(jìn)行自動(dòng)匹配），點(diǎn)擊“確定”，系統(tǒng)就自動(dòng)配置好防篡改策略，是不是很簡單。

注意每個(gè)網(wǎng)站都需要添加防篡改策略。如果沒有與您網(wǎng)站相匹配的模板，請聯(lián)系護(hù)衛(wèi)神官方添加。

至此，不升級PHP版本，解決PHP遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2024-4577）的方案，已經(jīng)成功部署完成，再也不擔(dān)心黑客入侵了！

如果您有服務(wù)器和網(wǎng)站安全等相關(guān)問題，請聯(lián)系護(hù)衛(wèi)神（www.fssdbt.cn），護(hù)衛(wèi)神竭誠為您服務(wù)！