Почему apache качает какие-то файлы с удаленного сервера?

Ребята, беда в том, что apache качает какие-то непонятные файлы. Вот выдержка из error-log

--2014-03-23 06:31:41--  http://78.70.29.192:58455/armeabi
Connecting to 78.70.29.192:58455...
connected.
HTTP request sent, awaiting response...
200 OK
Length: 131812 (129K)
Saving to: `/tmp/armeabi'

      0K .


Это не первый случай. Когда столкнулся с этим впервые, то я запретил php вызывать функции: exec, passthru, shell_exec, system, proc_open, popen, curl_exec, curl_multi_exec, show_source

Но после этого все равно появляются такие записи. Причем в /tmp нету ничего подобного. Файл сам по себе представляет бинарник. Причем процесс скачивания файлов начинается сразу после запуска apache.

Кто знает, где можно копнуть? Может быть, кто-то сталкивался?
  • Вопрос задан
  • 2897 просмотров
Решения вопроса 1
FacedSID
@FacedSID Автор вопроса
Ребята, получил консультацию от специалиста, который подсказал, что нужно копать в сторону CGI скриптов. В настройках виртуального домена был разрешен запуск CGI скриптов. В POST запросе передавались такие данные, которые заставляли apache обработать этот запрос и выполнить его как cgi скрипт. Достаточно отключить выполнение cgi и проблема решена.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 3
Качает не апач а php скрипт..

Лог вроде как от wget. Так что видимо не все exec в php вы запретили.
Ответ написан
rsivakov
@rsivakov
Digital Cowboy
бэкдор обновиться, может, захотел)))

armeabi.so его хотеть может.
какой-нибудь isp manager обновляет, или еще кто-то.

там по ссылке видно же, что именно он качает.

хз что делает, а в конце

information‘№ю‘ЖРЖШД(=A'aeabi4T .shstrtab.init.text.fini.rodata.ARM.exidx.eh_frame.init_array.fini_array.jcr.data.bss.ARM.attributesіАі»А»ћЎФYФў®Y®ўl#%pВ}э0}э:АFАRАW
Ответ написан
Попытался скачать этот файл - антивирь начал ругаться,что это Linux/Darlloz.B червь
Linux.Darlloz - сетевой червь для Linux-устройств

Я думаю стоит пересобрать/переустановить сам Apache и/или остальные вебсервера (если есть), возможно зараза поразила сами бинарники Apache.

Прочитал тут еще, что он использует уязвимость Parallels Plesk Panel и уязвимость PHP,тогда и PHP пересоберите/переустановите.

P.S. еще нашел информацию,что этот червь используется для майнинга *coin на пораженной машине
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы