今天发现，apache被人漏洞检测了

今天突然查看PHP的访问日志，其中有这样的条目：

★- 58.68.234.233 - - [01/Jan/2014:22:34:36 +0800] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%6E HTTP/1.1" I-1673 O-377 404 213 
"-" "Googlebot/2.1 (+http://www.googlebot.com/bot.html)"

以上是PHP访问日志的内容，该日志是我个人更改过格式的，但还是可以一目了然的。

发现这个来自北京，IP为58.68.234.233的客户端请求了POST，而且后面跟着十分可疑的cgi-bin目录。

于是google，发现国内并没有相关文章介绍这个现象，于是查看了国外的网站。

最后，有论坛说这是有人在检测并试图利用一个网站的漏洞，而其中竟然有个傻X如此说道：

“Keep in mind, it may not be Google. It could be a client spoof. Throw the IP in a browser URL and it's all Chinese.”

真是气煞我也，这傻X，一向文明的我，也终于想骂人了，可看着明晃晃的北京IP，我还能说什么（我查阅的那个论坛帖子，是一台湾IP）？

同时，打开apache的错误日志，发现果然有这样的对应apache错误：

[Wed Jan 01 22:34:34 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php
[Wed Jan 01 22:34:35 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php5
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php-cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php.cgi
[Wed Jan 01 22:34:36 2014] [error] [client 58.68.234.233] script not found or unable to stat: D:/backup/w/bin/apache/apache2.2.22/cgi-bin/php4

真是吓死个人哟。

它这是轮流检测我apache安装目录下的cgi-bin中是不是有各种php对应的可执行文件啊。

这是一个apache的漏洞，具体是什么就不太清楚了，不过，这也提醒了我们，使用apache的时候，尽量不要使用默认配置，能改目录的改目录，能换地方的换地方，权限能严格就严格，不然说不定什么时候，就中招了。

另外，也可以使用apache的重写功能，将敏感的目录进行直接屏蔽，也可以防止中招。

幸好我这里并没有使用默认配置，否则就能更多地了解到这个要攻击我服务器的家伙在开启我php程序后，到底下一步要干什么了，据说是要改我的robot.txt？

弄得我真想把这几个执行文件放到那里去，体验一下被攻击的感觉……

有时间和兴趣的同学，可以对此研究一下，交流交流。