一个非常严重的漏洞 Windows 下使用 PHP 的注意

不过用公开的攻击方式测了一下并不会触发漏洞，可能是没用 CGI 的关系，也没有特别改过配置

“那不用的人不知道不行吗” 傻逼问题，已拉黑。

也就是 xampp 的默认配置会被这样利用把。

IIS + FCGI 模式运行的很少会被配置成这样

@int80 还是要知道的，知道了之后可以有个防备，以后遇到了赶紧跑，另外还可以嘲笑别人

我的服务器也中招了，之前查了半天没看出啥原因，好在还有备份

似乎只有中文和日文 windows 会受影响

很多地方说的是只影响了 8.x 很小部分的 php 版本

没有影响所有版本吧？

刚刚看了一下中招了，被挂了个挖矿脚本，不知道有没有别的问题

@aababc +1 ，被一群人嘲笑，我说就那 1-2 台服务器，自己手动装下环境不就行了，说我不懂效率，还说什么自己搭环境出了问题你负责的了吗？等等之类的话，还让我睁眼看世界，别老以自己为中心，果然如君所言，的确是眼界窄了😅

@ShinichiYao
不是老漏洞，是本月 6 号修复的，上个月才发现的新漏洞。

@ms17010
没测试，有的文章说 5.X 7.X 8.X 都有影响，只是官方不管了（超过 3 年服务期，不修复）
逼着大家升级 8.X （连 8.0 都不管了，只修补了 8.1 8.2 8.3 ）

@NewYear 我的意思是这个漏洞存在超过 12 年，所有老版本都受影响，并且官方不管老版本维护了，5.x 7.x 8.x 都受影响，但只有 8.x 才有更新修复

@ShinichiYao

确实是，这事逼得我都只能升级自己的程序了，实在是不想改 php 做兼容新版本。。。。

要不是我不懂开发 php 的语言（好像是 C++?），恨不得自己写个补丁把 php 修补了发布出来，5.X+7.X+8.0 也才 11 个版本，就算加上 4.x 也才十几个。毕竟不知道什么时候用得上。

哪怕是修补几个关键版本都好，比如 php5.6 7.4 ，因为其他版本语法基本没什么变化，可以无痛升级。

自己有个 wordpress 网站跑在 windows7+xampp 上，看到这个文章吓一跳，赶紧停服，暂时迁移到托管服务上。他们提供一键部署 wordpress ，然后用的插件一键迁移的。
迁移过去发现新网站跑不起来了，wordpress 和 php 版本太高了，原来不知道什么插件不支持，还好他们可以切换 php 版本。切换成 7.0 好歹可以跑了。然后从自己机器拷贝全部的老版本 wordpress 文件过去，数据库就没再管，用的一键迁移，好歹成功了。
指望官方修复不可能了，研究了一下，发现好像不是简体中文的 windows 就可以免去漏洞，下一步就是换成英文版 windows7 ，杜绝这个漏洞了。不知道火绒能不能防这个漏洞，多弄几个杀软顶着应该也能凑合用。

@limerence1212 #33 我项目也还是用 PHP7 的 指望官方修复旧版漏洞也不太可能了。现在生产环境全部切到 Linux 以防后面又爆其他漏洞出来