5、查找攻擊原因

　　到這里為止，服務器上遭受的攻擊已經基本清晰了，但是入侵者是如何侵入這臺服務器的呢?這個問題很重要，一定要找到入侵的根源，才能從根本上封堵漏洞。

　　為了弄清楚入侵者是如何進入服務器的，需要了解下此服務器的軟件環境，這臺服務器是一個基于java的web服務器，安裝的軟件有apache2.0.63、tomcat5.5，apache和tomcat之間通過mod_jk模塊進行集成，apache對外開放80端口，由于tomcat沒有對外開放端口，所以將問題集中到apache上面。

　　通過查看apache的配置發現，apache僅僅處理些靜態資源請求，而網頁也以靜態頁面居多，所以通過網頁方式入侵系統可能性不大，既然漏洞可能來自于apache，那么嘗試查看apache日志，也許能發現一些可疑的訪問痕跡，通過查看access.log文件，發現了如下信息：

　　62.17.163.186 - - [29/Sep/2013:22:17:06 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0” 200 12333 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　62.17.163.186 - - [29/Sep/213:22:17:35 +0800] “GET http://www.xxx.com/cgi-bin/awstats.pl?configdir=|echo;echo;cd+/var/tmp/。。./haha;ls+-a%00 HTTP/1.0” 200 1626 “-” “Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20121010 Firefox/2.0”

　　至此，發現了漏洞的根源，原來是awstats.pl腳本中configdir的一個漏洞，通過了解此服務器的應用，客戶確實是通過一個Awstats的開源插件來做網頁訪問統計，通過這個漏洞，攻擊者可以直接在瀏覽器上操作服務器，例如查看進程、創建目錄等。通過上面第二條日志可以看出，攻擊者正常瀏覽器執行切換到/var/tmp/。。./haha目錄的操作。

　　這個腳本漏洞挺可怕的，不過在Awstats官網也早已給出了修補的方法，對于這個漏洞，修復方法很簡單，打開awstats.pl文件，找到如下信息：

　　if ($QueryString =~ /configdir=([^&]+)/i)

　　{

　　$DirConfig=&DecodeEncodedString(“ class="main">