这有点令人困惑,我想我是被 shellshock 击中了,顺便说一句,我不是系统管理员,只知道如何处理 linux。我正在运行一个网站(LAMP)并将其托管在 Digital Ocean 上。服务器是 centos 7,安装了一些安全措施,如 fail2ban。我经常检查错误日志和请求日志,就在昨天,我看到了一些令人不安的请求,如下所示:
错误日志
[Tue Aug 25 09:48:39.688528 2015] [core:error] [pid 24312] [client 64.15.155.177:33663] AH00126: Invalid URI in request GET HTTP/1.1 HTTP/1.1
[Tue Aug 25 09:48:40.877570 2015] [cgi:error] [pid 24306] [client 64.15.155.177:35398] script not found or unable to stat: /var/www/cgi-bin/report.cgi
[Tue Aug 25 09:48:41.042423 2015] [cgi:error] [pid 24331] [client 64.15.155.177:35687] script not found or unable to stat: /var/www/cgi-bin/webmap.cgi
[Tue Aug 25 09:48:41.206167 2015] [cgi:error] [pid 24351] [client 64.15.155.177:35888] script not found or unable to stat: /var/www/cgi-bin/whois.cgi
[Tue Aug 25 09:48:42.543500 2015] [cgi:error] [pid 24186] [client 64.15.155.177:36531] script not found or unable to stat: /var/www/cgi-bin/register.cgi
[Tue Aug 25 09:48:42.880804 2015] [cgi:error] [pid 24306] [client 64.15.155.177:38036] script not found or unable to stat: /var/www/cgi-bin/download.cgi
[Tue Aug 25 09:48:43.047761 2015] [cgi:error] [pid 24331] [client 64.15.155.177:38502] script not found or unable to stat: /var/www/cgi-bin/shop.cgi
[Tue Aug 25 09:48:43.503216 2015] [cgi:error] [pid 24353] [client 64.15.155.177:39001] script not found or unable to stat: /var/www/cgi-bin/profile.cgi
[Tue Aug 25 09:48:43.671687 2015] [cgi:error] [pid 24358] [client 64.15.155.177:39387] script not found or unable to stat: /var/www/cgi-bin/about_us.cgi
[Tue Aug 25 09:48:43.835678 2015] [cgi:error] [pid 24359] [client 64.15.155.177:39632] script not found or unable to stat: /var/www/cgi-bin/php.fcgi
[Tue Aug 25 09:48:44.002389 2015] [cgi:error] [pid 24361] [client 64.15.155.177:39862] script not found or unable to stat: /var/www/cgi-bin/calendar.cgi
[Tue Aug 25 09:48:44.774084 2015] [cgi:error] [pid 24362] [client 64.15.155.177:40930] script not found or unable to stat: /var/www/cgi-bin/download.cgi
[Tue Aug 25 09:48:44.942337 2015] [cgi:error] [pid 24363] [client 64.15.155.177:41177] script not found or unable to stat: /var/www/cgi-bin/light_board.cgi
[Tue Aug 25 09:48:45.108830 2015] [cgi:error] [pid 24365] [client 64.15.155.177:41430] script not found or unable to stat: /var/www/cgi-bin/main.cgi
[Tue Aug 25 09:48:45.291641 2015] [cgi:error] [pid 24283] [client 64.15.155.177:41677] script not found or unable to stat: /var/www/cgi-bin/search.cgi
请求日志
请在此处查看糊盒因为它太长了:http://pastebin.com/5kWB6X05
我的问题是:
黑客是否试图将病毒文件名“a2.png”植入到我的/tmp文件夹中?黑客植入成功了吗?
如果黑客成功了,我怎么知道病毒是否正在我的服务器中运行?
有什么更好的方法或建议来保护 Web 服务器?防止任何攻击。
到目前为止我还没有看到该文件名存在于我的 tmp 文件夹中。
我处理的网站在虚拟主机上,我正在使用一个框架来使其更安全。我不确定我是否在正确保护我的网络服务器,我只为登录尝试安装了 fail2ban。
答案1
关于您的日志和 pastebin,它似乎是一次自动尝试测试远程代码执行漏洞的尝试。
1)文件 a2.png 可能不是恶意软件。黑客只想测试他是否可以访问该文件夹并在其中上传文件。如果成功,这可能意味着黑客可以执行代码并遍历系统文件夹。
2) 您的日志显示尝试未成功。但问题是您实际上无法推断系统中不存在其他漏洞。要确定这一点,需要对其他黑客技术进行全面测试。
3)这是一个非常大的问题,因为技术和漏洞数不胜数。
但在确切的情况下。你可以肯定这次尝试没有成功。