文章总结： 阿里云2025年11月安全态势报告显示平台日均防御67.14亿次攻击，环比增长7.75%，DDoS攻击次数环比大幅上涨70.55%。近期恶意团伙利用PHP-FPM未授权访问漏洞发起大规模云上攻击，可导致加密货币挖矿、勒索攻击等危害。报告还重点分析了GeoServerWMSGetMap未授权XXE漏洞等高危漏洞，并提供了详细的防护建议和修复方案。 综合评分： 88 文章分类： 云安全,漏洞分析,威胁情报,漏洞预警,应急响应

云上安全态势报告-2025年11月

阿里云安全

阿里云应急响应

2025年12月15日 18:06 浙江

一、平台攻防态势

1. 云平台默认防御水位

默认防御是阿里云平台默认提供的基础防御能力，可基于海量云安全威胁情报，阻断恶意团伙对云上客户的规模性攻击，客户无需手动配置安全防护功能，开箱即享基础安全保护。

2025 年 11 月云平台平均每天为客户

• 防御攻击次数：67.14 亿次，环比 10 月份上涨 7.75%
• 防御攻击IP数： 2.66 万个，环比 10 月份下降 3.37%

#

2. DDoS 攻击拦截情况

阿里云平台 11 月共监测并拦截

• DDoS 攻击次数：17.83 万次，环比 10 月份上涨 70.55%
• DDoS 峰值：2100  Gbps ，与 10 月持平

#

二、近期攻击手段与趋势

恶意团伙利用 PHP-FPM 未授权访问漏洞发起大规模云上攻击

PHP-FPM（FastCGI Process Manager）是 PHP 官方提供的高性能进程管理器，广泛用于在 Nginx、Apache 等 Web 服务器后端执行 PHP 脚本。

运维人员如果错误配置其 FastCGI 控制端口（如 TCP 9000 端口或可被 Web 服务以外进程访问的 Unix Socket）， 将其暴露于公网或非信任内网，攻击者即可绕过 Web 服务器，直接向 PHP-FPM 发送伪造的 FastCGI 请求，实现任意 PHP 配置注入与远程代码执行（RCE）。更严重的是，此类恶意配置一旦被 PHP-FPM 进程加载，将在后续所有 PHP 请求中持续生效——每次用户访问网站，都会自动触发恶意代码执行，形成“一次写入、永久驻留”的高危后门。

攻击流程解析

1. 探测暴露的 PHP-FPM 服务（如公网暴露的 9000 端口）
2. 构造恶意 FastCGI 请求，可通过 PHP_VALUE 或 PHP_ADMIN_VALUE 等参数向Web服务进程动态注入恶意配置命令
3. 动态加载恶意配置，触发远程代码执行
4. 部署持久化后门，开展多重恶意活动

已观测到的恶意行为包括：

• 加密货币挖矿：消耗 CPU 资源运行挖矿程序，导致服务瘫痪；
• 勒索攻击：加密数据库或业务文件，索要赎金；
• 对外攻击：作为跳板发起 DDoS、漏洞扫描或横向渗透；
• 数据窃取：盗取凭证、用户信息及 API 密钥，用于黑产变现。

若您的环境使用了 PHP-FPM，阿里云建议您立即检查其配置情况。

针对存在潜在风险或已被入侵的实例，阿里云将主动发送安全告警。如您收到相关通知，请立即按以下方式进行配置和加固：

1. 禁止公网/非信任网络访问 PHP-FPM 端口

   确保 listen = 127.0.0.1:9000 或 listen = /run/php/php-fpm.sock 且权限为 660，禁止使用 listen = 0.0.0.0:9000

2. 对 Web 服务器层进行安全加固

   若必须通过 TCP 通信，应在 Nginx 中严格限制 FastCGI 转发，禁用用户可控的 PHP_VALUE 透传；

3. 最小权限原则

   在 www.conf 中设置 php_admin_value[extension] = none并启用 security.limit_extensions = .php；

4. 运行时防护

   监控 /tmp 等目录的异常 .so 文件、高 CPU 挖矿进程及非常规外连

三、近期被高频攻击的漏洞

根据攻击数据分析，阿里云安全团队总结了近期云上被高频扫描和利用的漏洞，建议有相关资产或风险的用户及时检测并进行修复或防护。

（一）新增重要漏洞

GeoServer WMS GetMap 未授权XXE漏洞（CVE-2025-58360）

GeoServer 是一个开源服务器，允许用户共享和编辑地理空间数据。在处理 WMS 的 GetMap 请求时，若请求体为 XML 格式（如 SLD 样式描述），其底层 XML 解析器未禁用 DTD 和外部实体引用，攻击者可构造包含恶意 <!DOCTYPE> 声明的 XML 请求，利用 XXE 机制：

• 读取服务器本地文件
• 发起 SSRF 攻击
• 触发拒绝服务

该漏洞于2025年11月26日披露，鉴于其高危害性与低利用门槛，如果您正在使用GeoServer，建议您立即按照以下方式修复：

1. 升级版本至 GeoServer 2.25.6、 2.26.3 或 2.27.0

2. 如暂时无法升级，建议采取下述临时缓解措施：

3. 禁止 GeoServer 直接暴露于公网，限制 /geoserver/wms 接口仅允许可信 IP 访问

4. JVM 启动参数加固，强制 Java XML 解析器拒绝加载任何外部 DTD 或 Schema

5. 使用 Web 应用防火墙（WAF）或反向代理拦截含 <!DOCTYPE、<!ENTITY 的请求

（二）其他漏洞列表

部分漏洞已支持免费检测。您可前往阿里云「安全管控」控制台，开启免费安全体检，快速识别相关应急漏洞；如需更全面的检测能力，建议使用云安全中心企业版，对上述应用漏洞进行深度扫描与持续监控。

| | | | | | — | — | — | — | | 序号 | 漏洞 | 编号 | 是否支持免费检测 | | 1 | DataGear 平台存在SpEL表达式注入漏洞 | AVD-2024-37759 | 否 | | 2 | xxl-job远程代码执行漏洞 | AVD-2023-1678172 CVE-2024-24113 | 否 | | 3 | Docker daemon API 未授权访问漏洞 | AVD-2021-346121 | 否 | | 4 | PHP CGI Windows平台远程代码执行漏洞 | CVE-2024-4577 | 是 | | 5 | php < 7.1.32 PHP-FPM缺陷配置远程代码执行漏洞 | CVE-2019-11043 | 否 | | 6 | Redis 未授权访问漏洞 | AVD-02021-0344 | 是 | | 7 | GeoServer property 表达式注入代码执行漏洞 | CVE-2024-36401 | 否 | | 8 | PostgreSQL任意代码执行漏洞 | CVE-2019-9193 | 否 | | 9 | Apache ActiveMQ远程代码执行漏洞 | CVE-2023-46604 | 是 |

查看原文：《云上安全态势报告-2025年11月》