5、查找攻擊原因

　　到這里為止，服務(wù)器上遭受的攻擊已經(jīng)基本清晰了，但是入侵者是如何侵入這臺(tái)服務(wù)器的呢?這個(gè)問(wèn)題很重要，一定要找到入侵的根源，才能從根本上封堵漏洞。

　　為了弄清楚入侵者是如何進(jìn)入服務(wù)器的，需要了解下此服務(wù)器的軟件環(huán)境，這臺(tái)服務(wù)器是一個(gè)基于java的web服務(wù)器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間通過(guò)mod_jk模塊進(jìn)行集成，apache對(duì)外開(kāi)放80端口，由于tomcat沒(méi)有對(duì)外開(kāi)放端口，所以將問(wèn)題集中到apache上面。

　　通過(guò)查看apache的配置發(fā)現(xiàn)，apache僅僅處理些靜態(tài)資源請(qǐng)求，而網(wǎng)頁(yè)也以靜態(tài)頁(yè)面居多，所以通過(guò)網(wǎng)頁(yè)方式入侵系統(tǒng)可能性不大，既然漏洞可能來(lái)自于apache，那么嘗試查看apache日志，也許能發(fā)現(xiàn)一些可疑的訪問(wèn)痕跡，通過(guò)查看access.log文件，發(fā)現(xiàn)了如下信息：

　　62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　至此，發(fā)現(xiàn)了漏洞的根源，原來(lái)是awstats.pl腳本中configdir的一個(gè)漏洞，通過(guò)了解此服務(wù)器的應(yīng)用，客戶確實(shí)是通過(guò)一個(gè)Awstats的開(kāi)源插件來(lái)做網(wǎng)頁(yè)訪問(wèn)統(tǒng)計(jì)，通過(guò)這個(gè)漏洞，攻擊者可以直接在瀏覽器上操作服務(wù)器，例如查看進(jìn)程、創(chuàng)建目錄等。通過(guò)上面第二條日志可以看出，攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/。。./haha目錄的操作。

　　這個(gè)腳本漏洞挺可怕的，不過(guò)在Awstats官網(wǎng)也早已給出了修補(bǔ)的方法，對(duì)于這個(gè)漏洞，修復(fù)方法很簡(jiǎn)單，打開(kāi)awstats.pl文件，找到如下信息：

　　if ($QueryString =~ /configdir=([^&]+)/i)

　　{

　　$DirConfig=&DecodeEncodedString(“ class="main">