恶意团伙利用 PHP-FPM 未授权访问漏洞发起大规模攻击

恶意团伙利用 PHP-FPM 未授权访问漏洞发起大规模攻击

PHP-FPM(FastCGl Process Manager)是 PHP 官方提供的高性能进程管理器，广泛用于在 Nginx.Apache 等 Web 服务器后端执行 PHP 脚本。

运维人员如果错误配置其 FastCGl控制端口(如 TCP 9000 端口或可被 Web 服务以外进程访问的 UnixSocket)，将其暴露于公网或非信任内网，攻击者即可绕过 Web 服务器，直接向 PHP-FPM 发送伪造的FastCGl请求，实现任意 PHP 配置注入与远程代码执行(RCE)。更严重的是，此类恶意配置一旦被PHP-FPM 进程加载，将在后续所有 PHP 请求中持续生效--每次用户访问网站，都会自动触发恶意代码执行，形成"一次写入、永久驻留"的高危后门。

攻击流程解析

1.探测暴露的 PHP-FPM 服务(如公网暴露的 9000 端口)

2.构造恶意FastCGl请求，可通过 PHP_VALUE 或 PHP_ADMIN_VALUE 等参数向Web服务进程动态注入恶意配置命令

3.动态加载恶意配置，触发远程代码执行

4.部署持久化后门，开展多重恶意活动

已观测到的恶意行为包括

加密货币挖矿

消耗 CPU 资源运行挖矿程序，导致服务瘫痪

勒索攻击

加密数据库或业务文件，索要赎金

对外攻击

作为跳板发起 DDoS、漏洞扫描或横向渗透

数据窃取

盗取凭证、用户信息及 API密钥，用于黑产变现。

若您的环境使用了 PHP-FPM，建议您立即检查其配置情况！

解决办法

针对存在潜在风险或已被入侵的实例，请立即按以下方式进行配置和加固:

1.禁止公网/非信任网络访问 PHP-FPM 端口

确保 listen=127.0.0.1:9000 或 listen=/run/php/php-fpm.sock 且权限为 660

禁止使用listen=0.0.0.0:9000

2.对 Web 服务器层进行安全加固

若必须通过 TCP 通信，应在 Nginx 中严格限制 FastCGl转发，禁用用户可控的 PHP_VALUE 透传;

3.最小权限

在www.conf中设置phpadminvalue[extension]=none 并启用securitv.limit extensions=php ;

4.运行时防护

监控 /tmp等目录的异常.so 文件、高CPU挖矿进程及非常规外连。