5、查找攻擊原因

　　到這里為止，服務(wù)器上遭受的攻擊已經(jīng)基本清晰了，但是入侵者是如何侵入這臺服務(wù)器的呢?這個問題很重要，一定要找到入侵的根源，才能從根本上封堵漏洞。

　　為了弄清楚入侵者是如何進入服務(wù)器的，需要了解下此服務(wù)器的軟件環(huán)境，這臺服務(wù)器是一個基于java的web服務(wù)器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間通過mod_jk模塊進行集成，apache對外開放80端口，由于tomcat沒有對外開放端口，所以將問題集中到apache上面。

　　通過查看apache的配置發(fā)現(xiàn)，apache僅僅處理些靜態(tài)資源請求，而網(wǎng)頁也以靜態(tài)頁面居多，所以通過網(wǎng)頁方式入侵系統(tǒng)可能性不大，既然漏洞可能來自于apache，那么嘗試查看apache日志，也許能發(fā)現(xiàn)一些可疑的訪問痕跡，通過查看access.log文件，發(fā)現(xiàn)了如下信息：

　　62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　至此，發(fā)現(xiàn)了漏洞的根源，原來是awstats.pl腳本中configdir的一個漏洞，通過了解此服務(wù)器的應(yīng)用，客戶確實是通過一個Awstats的開源插件來做網(wǎng)頁訪問統(tǒng)計，通過這個漏洞，攻擊者可以直接在瀏覽器上操作服務(wù)器，例如查看進程、創(chuàng)建目錄等。通過上面第二條日志可以看出，攻擊者正常瀏覽器執(zhí)行切換到/var/tmp/。。./haha目錄的操作。

　　這個腳本漏洞挺可怕的，不過在Awstats官網(wǎng)也早已給出了修補的方法，對于這個漏洞，修復(fù)方法很簡單，打開awstats.pl文件，找到如下信息：

　　if ($QueryString =~ /configdir=([^&]+)/i)

　　{

　　$DirConfig=&DecodeEncodedString(“ class="main">