我们的系统阻止了来自在 下运行的本地进程的黑客攻击。 Apache 系统用户。
Process not allowed.
{
"USER": "apache 16",
"PID": "617",
"%CPU": "0.0",
"%MEM": "0.0 80",
"VSZ": "556 3",
"RSS": "904",
"TTY": "?",
"STAT": "S",
"TIME": "0:00",
"COMMAND": "curl -v -u -d yyyy http://127.0.0.1:xxxx/"
}
apache 用户如何运行 curl?
从/etc/passwd 文件:
apache:x:48:48:Apache:/var/www:/sbin/nologin
这不应该阻止 Apache 从运行任何命令?
我们正在运行带有 SELinux 的 CentOS 6.7 版(最终版)。
最佳答案
/sbin/nologin 只是意味着您无法在登录时获得 shell。这是为了防止直接shell访问。
您仍然可以使用具有“nologin”的同一用户运行脚本,
su -s "/bin/sh cat /etc/passwd" apache
根据您提供的日志,我建议审核服务器和服务器上的 Web 应用程序。
因为这可能是一个远程代码执行 (RCE) 漏洞,或者黑客可能已经利用了其他漏洞并上传了 web shell在某些 Web 应用程序中,并试图获得更多权限。
关于apache - 黑客企图,进程在 'apache' 用户下运行,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/38981226/