对Apache服务器的攻击，郁闷中。。。

menei

UID: 35268
帖子: 77
积分: 177
在线时间: 8 小时

1^# menei 发表于 2007-03-27 06:56

对Apache服务器的攻击，郁闷中。。。

我的服务器是CentOS 4, Apache 已经是CentOS中最新版本的RPM包了。
最近，进厂发现有一个 perl 脚本被植入 /tmp 目录中，名字是 mar.txt，然后利用 perl 执行,发送大量的垃圾信息。
由于 /tmp 目录必需是可执行的，否则用户的网站一个程序就无法运行，所以安装了最新的 mod_security 2.1.但，仍然无法阻止该脚本的被植入。

哪位大侠知道如何操作以杜绝这个被植入的操作？

谢谢！

dajun

UID: 1292
帖子: 150
积分: 345
在线时间: 1 天 7 小时

2^# dajun 发表于 2007-03-27 09:19

这个和apache无关，是你的服务器有安全问题或者你的web程序有问题。
tmp目录也可以设置成下面的文件不可执行的！

powerpolly

UID: 25655
帖子: 8
积分: 18
在线时间: 10 分钟

3^# powerpolly 发表于 2007-03-27 10:37

晕。没听说过这种情况

menei

UID: 35268
帖子: 77
积分: 177
在线时间: 8 小时

4^# menei 发表于 2007-03-28 07:47

我知道 /tmp 目录可以设置成不可执行，但一旦设置了不可执行，我老板的一个网站就无法运行了。这个网站要求/tmp目录必需是可执行的。另外我还试图把 safe_php 开启，一旦开启了，我老板的网站也无法运行。我还尝试关闭了 fputs, readdir 命令，也会导致网站无法运行。实在是郁闷。。。

有什么脚本可以实时监控 /tmp 目录，发现了有问题的文件，马上删除？

dajun

UID: 1292
帖子: 150
积分: 345
在线时间: 1 天 7 小时

5^# dajun 发表于 2007-03-28 09:07

你的墙上有个洞，你不想让小偷进来，选择的不是把洞赌上，而是想找人看守……

dream8888

UID: 26153
帖子: 157
积分: 361
在线时间: 1 天 9 小时

6^# dream8888 发表于 2007-03-28 09:10

修改他的mar.txt内容，让他以为脚本还在正常运行，他就不来找你麻烦了．

HonestQiao

UID: 7323
帖子: 20
积分: 46
在线时间: 10 分钟

7^# HonestQiao 发表于 2007-03-28 23:16

touch /tmp/mar.txt
chmod 0 /tmp/mar.txt

menei

UID: 35268
帖子: 77
积分: 177
在线时间: 8 小时

8^# menei 发表于 2007-03-29 06:18

谢谢各位的帮忙，问题解决了！

问题解决了。不敢独自享受，把方法公开。

首先是用一个命令监视 /tmp 目录中的文件 "tmpwatch", 这个命令可以监视一个目录中产生的文件，在超过指定的时间（一般是小时）后，自动删除目录中的文件（可以根据需要删除子目录）。

其次，在Apache上安装 mod_security, 开启后在 mod_security 的日志文件中搜索包含 "mar.txt" 记录。然后，你会惊讶的发现，它是通过 awstats.pl 的一个漏洞（我的服务器上是这个程序的漏洞，在你的服务器上就可能是其它程序的漏洞），直接在浏览器中执行一连串的命令，从国外的一个网址上 inject 几个 perl 脚本到 /tmp 目录中。同时，会自动杀死正在以nobody权限运行的 perl 脚本，以自己代替运行（如果你的服务器上没有后台运行的 perl ，就直接运行自己）。然后，就看你的选择，要么是升级有漏洞的程序，要么是删除这个程序。

dajun

UID: 1292
帖子: 150
积分: 345
在线时间: 1 天 7 小时

9^# dajun 发表于 2007-03-29 09:15

awstat的漏洞都有几年了，你还不update!