网络安全：记录一次WEB远程代码执行（RCE）攻击行为以及应对排查解决思路

在一次日常的服务器安全巡检中，我们在访问日志中发现了一条异常请求。这条日志条目显示出一次明确的 Web 攻击行为，属于典型的远程代码执行（RCE）尝试。攻击者试图通过 PHP 文件包含漏洞远程执行恶意脚本，在服务器上植入后门。以下是完整的分析与应对过程记录。

一、攻击内容解析

攻击者尝试访问的 URL 为：

/extend/phpmailer/language/phpmailer.lang-zz.php?dd=file_put_contents(
    './cmsss.php',
    '<?php ... 大量恶意代码 ... ?>'
)

攻击者将 payload 写入到 URL 参数中，试图通过不安全的文件包含方式注入并执行代码。

二、攻击方式详解

目标文件是 /extend/phpmailer/language/phpmailer.lang-zz.php。攻击者预期该文件存在漏洞，例如 eval($_GET['dd'])，使其可以通过 URL 参数执行传入的 PHP 代码。

传入参数为：

file_put_contents('./cmsss.php', '<?php ... payload ... ?>')

其目标是将恶意 PHP 代码写入网站根目录的 cmsss.php 文件中，从而建立持久化的后门。