script introuvable ou incapable de statuer: / usr / lib / cgi-bin / php-cgi

9

Je viens de voir une nouvelle série d’erreurs dans /var/log/apache2/error.log

[Jeu 31 octobre 06:59:04 2013] [erreur] [client 203.197.197.18] script introuvable ou incapable de statuer: / usr / lib / cgi-bin / php

[Jeu 31 octobre 06:59:08 2013] [erreur] [client 203.197.197.18] script introuvable ou incapable de statuer: / usr / lib / cgi-bin / php5

[Jeu 31 octobre 06:59:09 2013] [erreur] [client 203.197.197.18] script introuvable ou incapable de statuer: / usr / lib / cgi-bin / php-cgi

[Jeu 31 octobre 06:59:14 2013] [erreur] [client 203.197.197.18] script introuvable ou incapable de statuer: /usr/lib/cgi-bin/php.cgi

[Jeu 31 octobre 06:59:14 2013] [erreur] [client 203.197.197.18] script introuvable ou incapable de statuer: / usr / lib / cgi-bin / php4

Ce serveur exécute Ubuntu 12.04lts.

Je n'ai jamais vu ce genre d'attaque auparavant, devrais-je m'inquiéter ou sécuriser mon système de quelque manière que ce soit pour eux?

Merci, John

apache-2.2 logging John
la source

Réponses:

15

Si vous exécutez une configuration par défaut d'Apache sur Ubuntu (ou si vous avez utilisé la configuration par défaut comme modèle aveugle pour d'autres directives virtualhost), vous constaterez probablement que vous avez un mappage de directive ScriptAlias ​​/ cgi-bin / (par rapport à l'apache racine du document) à l'emplacement du système de fichiers de / usr / lib / cgi-bin / - donc ce qu'ils essaient réellement de charger est http://your.host.name/cgi-bin/php4 .

Si vous n'utilisez votre cgi-bin pour rien, il est peu probable que vous perdiez tout ce qui vous intéresse en commentant les sections qui s'y rapportent (et plus votre configuration est définie selon vos besoins, plus la surface d'attaque potentielle est petite) .

Vous trouverez les directives pertinentes pour le site par défaut dans / etc / apache2 / sites-available / 000-default, si la mémoire est suffisante.

Phil
la source
Dans la configuration par défaut d'Apache d'Ubuntu 13.10, j'ai trouvé la ScriptAliasdirective cachée/etc/apache2/conf-enabled/serve-cgi-bin.conf
nedned
3

Il semble que quelqu'un essaie de trouver un binaire php cgi dans votre chemin cgi-bin. Tant qu'il n'y a rien d'exploitable là-dedans, il n'y a rien à craindre.

etagenklo
la source
Mais avec Apache en cours d'exécution tentent-ils effectivement d'accéder à WEBROOT / usr / lib / cgi-bin / php4?
John
voir la réponse de Phil, la directive ScriptAlias ​​par défaut en est responsable.
etagenklo