共计 935 个字符，预计需要花费 3 分钟才能阅读完成。

恶意团伙利用 PHP-FPM 未授权访问漏洞发起大规模攻击

PHP-FPM(FastCGl Process Manager) 是 PHP 官方提供的高性能进程管理器，广泛用于在 Nginx.Apache 等 Web 服务器后端执行 PHP 脚本。

运维人员如果错误配置其 FastCGl 控制端口 (如 TCP 9000 端口或可被 Web 服务以外进程访问的 UnixSocket)，将其暴露于公网或非信任内网，攻击者即可绕过 Web 服务器，直接向 PHP-FPM 发送伪造的 FastCGl 请求，实现任意 PHP 配置注入与远程代码执行 (RCE)。更严重的是，此类恶意配置一旦被 PHP-FPM 进程加载，将在后续所有 PHP 请求中持续生效 – 每次用户访问网站，都会自动触发恶意代码执行，形成“一次写入、永久驻留”的高危后门。

攻击流程解析

1. 探测暴露的 PHP-FPM 服务 (如公网暴露的 9000 端口)

2. 构造恶意 FastCGl 请求，可通过 PHP_VALUE 或 PHP_ADMIN_VALUE 等参数向 Web 服务进程动态注入恶意配置命令

3. 动态加载恶意配置，触发远程代码执行

4. 部署持久化后门，开展多重恶意活动

已观测到的恶意行为包括

加密货币挖矿

消耗 CPU 资源运行挖矿程序，导致服务瘫痪

勒索攻击

加密数据库或业务文件，索要赎金

对外攻击

作为跳板发起 DDoS、漏洞扫描或横向渗透

数据窃取

盗取凭证、用户信息及 API 密钥，用于黑产变现。

若您的环境使用了 PHP-FPM，建议您立即检查其配置情况！

解决办法

针对存在潜在风险或已被入侵的实例，请立即按以下方式进行配置和加固:

1. 禁止公网 / 非信任网络访问 PHP-FPM 端口

确保 listen=127.0.0.1:9000 或 listen=/run/php/php-fpm.sock 且权限为 660

禁止使用 listen=0.0.0.0:9000

2. 对 Web 服务器层进行安全加固

若必须通过 TCP 通信，应在 Nginx 中严格限制 FastCGl 转发，禁用用户可控的 PHP_VALUE 透传;

3. 最小权限

在 www.conf 中设置 phpadminvalue[extension]=none 并启用 securitv.limit extensions=php ;

4. 运行时防护

监控 /tmp 等目录的异常.so 文件、高 CPU 挖矿进程及非常规外连。