网页地址被嵌入linux命令执行,导致服务器响应缓慢,经过查看日志信息,发现有如下输出:
200.162.243.183 - - [24/Oct/2008:20:17:06 +0800] "GET http://www.hustwb.edu.cn/c
gi-bin/awstats.pl?configdir=|echo;echo;ps+-aux%00 HTTP/1.0" 200 12333 "-" "Mozil
la/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20061010 Firefox/2.0"
200.162.243.183 - - [24/Oct/2008:20:17:35 +0800] "GET http://www.hustwb.edu.cn/c
gi-bin/awstats.pl?configdir=|echo;echo;cd+/var/spool/vbox;ls+-a%00 HTTP/1.0" 200
1626 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pt-BR; rv:1.8.1) Gecko/20061
010 Firefox/2.0"
原来是awstats.pl脚步中configdir的一个漏洞,于是修改awstats.pl文件:
找到如下信息:
if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString("$1");
}
修改为如下:
if ($QueryString =~ /configdir=([^&]+)/i)
{
$DirConfig=&DecodeEncodedString("$1");
$DirConfig=~tr/a-z0-9_\-\/\./a-z0-9_\-\/\./cd;
}
