AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 阿里云安全指南 云上安全动态 安全态势报告-2025年11月

安全态势报告-2025年11月

更新时间:
我的收藏

阿里云平台安全态势报告(11月刊)

一、平台攻防态势

云平台默认防御水位

默认防御是阿里云平台默认提供的基础防御能力,可基于海量云安全威胁情报,阻断恶意团伙对云上客户的规模性攻击,客户无需手动配置安全防护功能,开箱即享基础安全保护。

2025 年 11 月云平台平均每天为客户

  • 防御攻击次数:67.14 亿次,环比 10 月份上涨 7.75%

  • 防御攻击IP数: 2.66 万个,环比 10 月份下降 3.37%

image.png

DDoS 攻击拦截情况

阿里云平台 11 月共监测并拦截

  • DDoS 攻击次数:17.83 万次,环比 10 月份上涨 70.55%

  • DDoS 峰值:2100 Gbps ,与 10 月持平

image.png

、近期攻击手段与趋势

恶意团伙利用 PHP-FPM 未授权访问漏洞发起大规模云上攻击

PHP-FPM(FastCGI Process Manager)是 PHP 官方提供的高性能进程管理器,广泛用于在 Nginx、Apache 等 Web 服务器后端执行 PHP 脚本。

运维人员如果错误配置其 FastCGI 控制端口(如 TCP 9000 端口或可被 Web 服务以外进程访问的 Unix Socket), 将其暴露于公网或非信任内网,攻击者即可绕过 Web 服务器,直接向 PHP-FPM 发送伪造的 FastCGI 请求,实现任意 PHP 配置注入与远程代码执行(RCE)。更严重的是,此类恶意配置一旦被 PHP-FPM 进程加载,将在后续所有 PHP 请求中持续生效——每次用户访问网站,都会自动触发恶意代码执行,形成“一次写入、永久驻留”的高危后门。

攻击流程解析

  1. 探测暴露的 PHP-FPM 服务(如公网暴露的 9000 端口)

  2. 构造恶意 FastCGI 请求,可通过 PHP_VALUE 或 PHP_ADMIN_VALUE 等参数向Web服务进程动态注入恶意配置命令

  3. 动态加载恶意配置,触发远程代码执行

  4. 部署持久化后门,开展多重恶意活动

已观测到的恶意行为包括:

  • 加密货币挖矿:消耗 CPU 资源运行挖矿程序,导致服务瘫痪;

  • 勒索攻击:加密数据库或业务文件,索要赎金;

  • 对外攻击:作为跳板发起 DDoS、漏洞扫描或横向渗透;

  • 数据窃取:盗取凭证、用户信息及 API 密钥,用于黑产变现。

若您的环境使用了 PHP-FPM,阿里云建议您立即检查其配置情况。

针对存在潜在风险或已被入侵的实例,阿里云将主动发送安全告警。如您收到相关通知,请立即按以下方式进行配置和加固:

  1. 禁止公网/非信任网络访问 PHP-FPM 端口

确保 listen = 127.0.0.1:9000 或 listen = /run/php/php-fpm.sock 且权限为 660,禁止使用 listen = 0.0.0.0:9000

  1. 对 Web 服务器层进行安全加固

若必须通过 TCP 通信,应在 Nginx 中严格限制 FastCGI 转发,禁用用户可控的 PHP_VALUE 透传;

  1. 最小权限原则

在 www.conf 中设置 php_admin_value[extension] = none并启用 security.limit_extensions = .php

  1. 运行时防护

监控 /tmp 等目录的异常 .so 文件、高 CPU 挖矿进程及非常规外连

三、近期被高频攻击的漏洞

根据攻击数据分析,阿里云安全团队总结了近期云上被高频扫描和利用的漏洞,建议有相关资产或风险的用户及时检测并进行修复或防护。

(一)新增重要漏洞

GeoServer WMS GetMap 未授权XXE漏洞(CVE-2025-58360

GeoServer 是一个开源服务器,允许用户共享和编辑地理空间数据。在处理 WMS 的 GetMap 请求时,若请求体为 XML 格式(如 SLD 样式描述),其底层 XML 解析器未禁用 DTD 和外部实体引用,攻击者可构造包含恶意 <!DOCTYPE> 声明的 XML 请求,利用 XXE 机制:

  • 读取服务器本地文件

  • 发起 SSRF 攻击

  • 触发拒绝服务

该漏洞于20251126日披露,鉴于其高危害性与低利用门槛,如果您正在使用GeoServer,建议您立即按照以下方式修复:

  1. 升级版本至 GeoServer 2.25.6、 2.26.3 或 2.27.0

  2. 如暂时无法升级,建议采取下述临时缓解措施:

    1. 禁止 GeoServer 直接暴露于公网,限制 /geoserver/wms 接口仅允许可信 IP 访问

    2. JVM 启动参数加固,强制 Java XML 解析器拒绝加载任何外部 DTD 或 Schema

    3. 使用 Web 应用防火墙(WAF)或反向代理拦截含 <!DOCTYPE<!ENTITY 的请求

)其他漏洞列表

部分漏洞已支持免费检测。您可前往阿里云「安全管控」控制台,开启免费安全体检,快速识别相关应急漏洞;如需更全面的检测能力,建议使用云安全中心企业版,对上述应用漏洞进行深度扫描与持续监控。

序号

漏洞

编号

是否支持免费检测

1

DataGear 平台存在SpEL表达式注入漏洞

AVD-2024-37759

2

xxl-job远程代码执行漏洞

AVD-2023-1678172

CVE-2024-24113

3

Docker daemon API 未授权访问漏洞

AVD-2021-346121

4

PHP CGI Windows平台远程代码执行漏洞

CVE-2024-4577

5

php < 7.1.32 PHP-FPM缺陷配置远程代码执行漏洞

CVE-2019-11043

6

Redis 未授权访问漏洞

AVD-02021-0344

7

GeoServer property 表达式注入代码执行漏洞

CVE-2024-36401

8

PostgreSQL任意代码执行漏洞

CVE-2019-9193

9

Apache ActiveMQ远程代码执行漏洞

CVE-2023-46604

上一篇:云上安全动态下一篇:安全态势报告-2025年10月