skrip tidak ditemukan atau tidak dapat di-stat: / usr / lib / cgi-bin / php-cgi

9

Saya baru saja melihat serangkaian kesalahan baru di /var/log/apache2/error.log

[Kamis 31 Okt 06:59:04 2013] [kesalahan] [klien 203.197.197.18] skrip tidak ditemukan atau tidak dapat di-stat: / usr / lib / cgi-bin / php

[Kamis 31 Okt 06:59:08 2013] [kesalahan] [klien 203.197.197.18] skrip tidak ditemukan atau tidak dapat di-stat: / usr / lib / cgi-bin / php5

[Kamis 31 Okt 06:59:09 2013] [kesalahan] [klien 203.197.197.18] skrip tidak ditemukan atau tidak dapat di-stat: / usr / lib / cgi-bin / php-cgi

[Kamis 31 Okt 06:59:14 2013] [kesalahan] [klien 203.197.197.18] skrip tidak ditemukan atau tidak dapat di-stat: /usr/lib/cgi-bin/php.cgi

[Kamis 31 Okt 06:59:14 2013] [error] [client 203.197.197.18] skrip tidak ditemukan atau tidak dapat di-stat: / usr / lib / cgi-bin / php4

Server ini menjalankan Ubuntu 12.04lts.

Saya belum pernah melihat serangan semacam ini sebelumnya, haruskah saya khawatir atau mengamankan sistem saya dengan cara apa pun untuk mereka?

Terima kasih, John

apache-2.2 logging John
sumber

Jawaban:

15

Jika Anda menjalankan konfigurasi default Apache di Ubuntu (atau telah menggunakan konfigurasi default sebagai template blind untuk arahan virtualhost lainnya) Anda mungkin akan menemukan bahwa Anda memiliki pemetaan direktif ScriptAlias ​​/ cgi-bin / (relatif terhadap apache root dokumen) ke lokasi sistem file dari / usr / lib / cgi-bin / - jadi yang sebenarnya mereka coba muat adalah http://your.host.name/cgi-bin/php4 .

Jika Anda tidak menggunakan cgi-bin Anda untuk apa pun, Anda tidak akan kehilangan apapun yang Anda pedulikan dengan mengomentari bagian yang berkaitan dengannya (dan semakin ditentukan untuk kebutuhan konfigurasi Anda, semakin kecil kemungkinan permukaan serangan) .

Anda akan menemukan arahan yang relevan untuk situs default di / etc / apache2 / sites-available / 000-default, jika memori berfungsi.

Phil
sumber
Di Ubuntu 13.10 default apache config, saya menemukan ScriptAliasbersembunyi direktif di/etc/apache2/conf-enabled/serve-cgi-bin.conf
nedned
3

Tampaknya seseorang berusaha menemukan biner php cgi di jalur cgi-bin Anda. Selama tidak ada yang bisa dieksploitasi di sana, tidak ada yang perlu dikhawatirkan.

etagenklo
sumber
Tetapi dengan menjalankan apache apakah mereka secara efektif mencoba mengakses WEBROOT / usr / lib / cgi-bin / php4?
Yohanes
lihat balasan Phil, arahan ScriptAlias ​​default bertanggung jawab untuk ini.
etagenklo