Назад | Перейти на главную страницу

apache error_log

У меня проблема с apache. Следующие журналы отображаются в файле error_log.

--15:01:26--  http://bandits.ucoz.hu/autorun.sh
Resolving bandits.ucoz.hu... 193.109.247.50
Connecting to bandits.ucoz.hu|193.109.247.50|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 396 [application/octet-stream]
Saving to: `autorun.sh'

     0K                                                       100% 51.6M=0s

15:01:26 (51.6 MB/s) - `autorun.sh' saved [396/396]

sh: fetch: command not found
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   396  100   396    0     0  70387      0 --:--:-- --:--:-- --:--:--     0
connected.
HTTP request sent, awaiting response... 200 OK
Length: 28762 (28K) [text/plain]
Saving to: `b0t3.txt'

     0K .......... .......... ........                        100% 8.75M=0.003s

15:01:27 (8.75 MB/s) - `b0t3.txt' saved [28762/28762]

sh: fetch: command not found
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 28762  100 28762    0     0  3434k      0 --:--:-- --:--:-- --:--:-- 13.1M
sh: /usr/bin/lwp-download: /usr/bin/perl: bad interpreter: Permission denied
sh: /usr/bin/perl: Permission denied
--15:01:27--  http://bandits.ucoz.hu/autorun.sh
Resolving bandits.ucoz.hu... 193.109.247.50
Connecting to bandits.ucoz.hu|193.109.247.50|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 396 [application/octet-stream]
Saving to: `autorun.sh'

     0K                                                       100% 31.8M=0s

15:01:27 (31.8 MB/s) - `autorun.sh' saved [396/396]

sh: fetch: command not found
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100   396  100   396    0     0  48768      0 --:--:-- --:--:-- --:--:--     0

Как я могу предотвратить эту проблему?

похоже, кто-то пытался загрузить и запустить Perl-скрипт, используя одну из ваших уязвимых веб-страниц. - пытался отключить выполнение всего интерпретатора (perl, phyton, curl, c и т. д.).

  • Я предполагаю, что это может быть apache + php, если да, вы можете быть отключены: allow_url_fopen = Off, чтобы отключить загрузку через PHP.

  • добавить httpd mod_security

  • исправлен скрипт вашей уязвимой веб-страницы
  • открыть исходящий брандмауэр для определенных IP / портов

Где-то у вас есть сценарий, который пытается захватить то, что похоже на сценарий ботнета, пытается сохранить его и запустить локально. чего не происходит, так как это находится в файле ошибок.

  • заблокировать ip бандитов [хотя, наверное, еще несколько]
  • найдите этот скрипт [grep для URL-адреса бандитов]

  • узнайте, что этот скрипт использует для получения файла [заблокируйте его, если можете]

  • скачать и сканировать с помощью rkhunter

  • следи за своей почтовой очередью
  • следите за странностями в своем списке процессов

-шон