我刚刚看到一系列新的错误/var/log/apache2/error.log
[2013 年 10 月 31 日星期四 06:59:04] [错误] [客户端 203.197.197.18] 未找到脚本或无法统计:/usr/lib/cgi-bin/php
[2013 年 10 月 31 日星期四 06:59:08] [错误] [客户端 203.197.197.18] 未找到脚本或无法统计:/usr/lib/cgi-bin/php5
[2013 年 10 月 31 日星期四 06:59:09] [错误] [客户端 203.197.197.18] 未找到脚本或无法统计:/usr/lib/cgi-bin/php-cgi
[2013 年 10 月 31 日星期四 06:59:14] [错误] [客户端 203.197.197.18] 未找到脚本或无法统计:/usr/lib/cgi-bin/php.cgi
[2013 年 10 月 31 日星期四 06:59:14] [错误] [客户端 203.197.197.18] 未找到脚本或无法统计:/usr/lib/cgi-bin/php4
该服务器正在运行 Ubuntu 12.04lts。
我以前从未见过这种攻击,我是否应该担心或以任何方式保护我的系统?
谢谢,约翰
答案1
如果你在 Ubuntu 上运行的是 Apache 的默认配置(或者已经将默认配置用作其他虚拟主机指令的盲模板),你可能会发现你有一个 ScriptAlias 指令将 /cgi-bin/(相对于 Apache 文档根目录)映射到 /usr/lib/cgi-bin/ 的文件系统位置 - 所以他们实际上试图加载的是http://你的主机名/cgi-bin/php4。
如果您没有将 cgi-bin 用于任何事情,则通过注释掉与其相关的部分,您不太可能丢失您关心的任何内容(并且您的配置越符合您的需求,潜在的攻击面就越小)。
如果记忆不错的话,您会在 /etc/apache2/sites-available/000-default 中找到默认站点的相关指令。
答案2
似乎有人试图在您的 cgi-bin 路径中查找 php cgi 二进制文件。只要其中没有可利用的内容,就无需担心。
答案3
您可以像这样禁用默认服务器 cgi-bin:
a2disconf serve-cgi-bin
systemctl reload apache2