Почему apache качает какие-то файлы с удаленного сервера?

Question

[FacedSID]

Ребята, беда в том, что apache качает какие-то непонятные файлы. Вот выдержка из error-log

--2014-03-23 06:31:41--  http://78.70.29.192:58455/armeabi
Connecting to 78.70.29.192:58455...
connected.
HTTP request sent, awaiting response...
200 OK
Length: 131812 (129K)
Saving to: `/tmp/armeabi'

      0K .

Это не первый случай. Когда столкнулся с этим впервые, то я запретил php вызывать функции: exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, show_source

Но после этого все равно появляются такие записи. Причем в /tmp нету ничего подобного. Файл сам по себе представляет бинарник. Причем процесс скачивания файлов начинается сразу после запуска apache.

Кто знает, где можно копнуть? Может быть, кто-то сталкивался?

Answer 1

[FacedSID]

Ребята, получил консультацию от специалиста, который подсказал, что нужно копать в сторону CGI скриптов. В настройках виртуального домена был разрешен запуск CGI скриптов. В POST запросе передавались такие данные, которые заставляли apache обработать этот запрос и выполнить его как cgi скрипт. Достаточно отключить выполнение cgi и проблема решена.

Answer 2

[Степан]

Качает не апач а php скрипт..

Лог вроде как от wget. Так что видимо не все exec в php вы запретили.

Comments

[FacedSID]

И правда. Есть вероятность, что скрипт запускался в режиме cli, но каким образом - не понятно. На всякий случай перенастроил ini файл для cli режима. Будем надеяться, что подобных проблем не будет! Спасибо за наводку!

[Андрей]

Если строчечки у вас из лога апача, то это точно не cli.

Answer 3

[Роман Сиваков]

бэкдор обновиться, может, захотел)))

armeabi.so его хотеть может.
какой-нибудь isp manager обновляет, или еще кто-то.

там по ссылке видно же, что именно он качает.

хз что делает, а в конце

information‘№ю‘ЖРЖШД(=A'aeabi4T .shstrtab.init.text.fini.rodata.ARM.exidx.eh_frame.init_array.fini_array.jcr.data.bss.ARM.attributesіАі»А»ћЎФYФў®Y®ўl#%pВ}э0}э:АFАRАW

Comments

[FacedSID]

На сервере стоит только apache, php, tomcat. Все порты, кроме 80 закрыты наглухо ) Никаких панелей нету и крутится только один домен.

Answer 4

[Сергей Бровко]

Попытался скачать этот файл - антивирь начал ругаться,что это Linux/Darlloz.B червь
Linux.Darlloz - сетевой червь для Linux-устройств

Я думаю стоит пересобрать/переустановить сам Apache и/или остальные вебсервера (если есть), возможно зараза поразила сами бинарники Apache.

Прочитал тут еще, что он использует уязвимость Parallels Plesk Panel и уязвимость PHP,тогда и PHP пересоберите/переустановите.

P.S. еще нашел информацию,что этот червь используется для майнинга *coin на пораженной машине

Comments

[FacedSID]

Пересборкой Apache и PHP я сразу занялся, как только проблема была обнаружена. MariaDB крутится на другом сервере. После пересборки, проблема осталась. Отключил cgi-bin и все! Проблема исчезла! )