今天发现,apache被人漏洞检测了
2014-01-06 19:23
169 查看
今天突然查看PHP的访问日志,其中有这样的条目:
★- 58.68.234.233 - - [01/Jan/2014:22:34:36 +0800] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" I-1673 O-377 404 213
"-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"
以上是PHP访问日志的内容,该日志是我个人更改过格式的,但还是可以一目了然的。
发现这个来自北京,IP为58.68.234.233的客户端请求了POST,而且后面跟着十分可疑的cgi-bin目录。
于是google,发现国内并没有相关文章介绍这个现象,于是查看了国外的网站。
最后,有论坛说这是有人在检测并试图利用一个网站的漏洞,而其中竟然有个傻X如此说道:
“Keep in mind, it may not be Google. It could be a client spoof. Throw the IP in a browser URL and it's all Chinese.”
真是气煞我也,这傻X,一向文明的我,也终于想骂人了,可看着明晃晃的北京IP,我还能说什么(我查阅的那个论坛帖子,是一台湾IP)?
同时,打开apache的错误日志,发现果然有这样的对应apache错误:
[Wed Jan 01 22:34:34 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php
[Wed Jan 01 22:34:35 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php5
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php-cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php.cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php4
真是吓死个人哟。
它这是轮流检测我apache安装目录下的cgi-bin中是不是有各种php对应的可执行文件啊。
这是一个apache的漏洞,具体是什么就不太清楚了,不过,这也提醒了我们,使用apache的时候,尽量不要使用默认配置,能改目录的改目录,能换地方的换地方,权限能严格就严格,不然说不定什么时候,就中招了。
另外,也可以使用apache的重写功能,将敏感的目录进行直接屏蔽,也可以防止中招。
幸好我这里并没有使用默认配置,否则就能更多地了解到这个要攻击我服务器的家伙在开启我php程序后,到底下一步要干什么了,据说是要改我的robot.txt?
弄得我真想把这几个执行文件放到那里去,体验一下被攻击的感觉……
有时间和兴趣的同学,可以对此研究一下,交流交流。
★- 58.68.234.233 - - [01/Jan/2014:22:34:36 +0800] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" I-1673 O-377 404 213
"-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"
以上是PHP访问日志的内容,该日志是我个人更改过格式的,但还是可以一目了然的。
发现这个来自北京,IP为58.68.234.233的客户端请求了POST,而且后面跟着十分可疑的cgi-bin目录。
于是google,发现国内并没有相关文章介绍这个现象,于是查看了国外的网站。
最后,有论坛说这是有人在检测并试图利用一个网站的漏洞,而其中竟然有个傻X如此说道:
“Keep in mind, it may not be Google. It could be a client spoof. Throw the IP in a browser URL and it's all Chinese.”
真是气煞我也,这傻X,一向文明的我,也终于想骂人了,可看着明晃晃的北京IP,我还能说什么(我查阅的那个论坛帖子,是一台湾IP)?
同时,打开apache的错误日志,发现果然有这样的对应apache错误:
[Wed Jan 01 22:34:34 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php
[Wed Jan 01 22:34:35 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php5
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php-cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php.cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php4
真是吓死个人哟。
它这是轮流检测我apache安装目录下的cgi-bin中是不是有各种php对应的可执行文件啊。
这是一个apache的漏洞,具体是什么就不太清楚了,不过,这也提醒了我们,使用apache的时候,尽量不要使用默认配置,能改目录的改目录,能换地方的换地方,权限能严格就严格,不然说不定什么时候,就中招了。
另外,也可以使用apache的重写功能,将敏感的目录进行直接屏蔽,也可以防止中招。
幸好我这里并没有使用默认配置,否则就能更多地了解到这个要攻击我服务器的家伙在开启我php程序后,到底下一步要干什么了,据说是要改我的robot.txt?
弄得我真想把这几个执行文件放到那里去,体验一下被攻击的感觉……
有时间和兴趣的同学,可以对此研究一下,交流交流。
相关文章推荐
- 今天发现家用电脑上装了个Apache,竟然还有如此厚颜无耻之徒
- Apache Struts2任意代码执行漏洞(S2-032)检测程序
- 安全检测时发现的一些漏洞
- 今天发现易宝(yeepay)充值卡类支付方式可能存在的安全漏洞!
- Apache HTTP Server 中发现严重安全漏洞
- 简单修复360安全检测提示的发现robots文件漏洞
- 安全检测时发现的一些漏洞收藏
- 今天听歌时发现自己的心情怎么也无法平静下来,这几天有太多繁心的事情了。
- 对搜狐、网易和TOM三大门户网站的SQL注入漏洞检测
- Android静态安全检测 -> WebView系统隐藏接口漏洞检测
- 今天项目测试发现的ajax请求阻塞
- 微服务专题:服务注册与发现之三Consul健康检测
- Apache mod_ruid2 chroot 安全绕过漏洞
- ubuntu用apt安装apache2时,出现E:未发现软件包 gfortran
- ASP上传漏洞之利用CHR(0)绕过扩展名检测脚本
- 今天光棍节,有新发现
- 今天学习css发现line-height和vertical-align,和基线等问题
- 【Scikit-Learn 中文文档】新异类和异常值检测 - 无监督学习 - 用户指南 | ApacheCN
- Apache HTTP Server mod_session_dbd 远程安全漏洞(CVE-2013-2249)
- 今天无意中发现个好网站