apache - 黑客企图，进程在 'apache' 用户下运行

Question

我们的系统阻止了来自在 下运行的本地进程的黑客攻击。 Apache 系统用户。

Process not allowed.

{
"USER": "apache 16",
"PID": "617",
"%CPU": "0.0",
"%MEM": "0.0 80",
"VSZ": "556 3",
"RSS": "904",
"TTY": "?",
"STAT": "S",
"TIME": "0:00",
"COMMAND": "curl -v -u -d yyyy http://127.0.0.1:xxxx/"
}

apache 用户如何运行 curl？

从/etc/passwd 文件:

apache:x:48:48:Apache:/var/www:/sbin/nologin

这不应该阻止 Apache 从运行任何命令？

我们正在运行带有 SELinux 的 CentOS 6.7 版(最终版)。

Answer 1

/sbin/nologin 只是意味着您无法在登录时获得 shell。这是为了防止直接shell访问。
您仍然可以使用具有“nologin”的同一用户运行脚本，

su -s "/bin/sh cat /etc/passwd" apache

根据您提供的日志，我建议审核服务器和服务器上的 Web 应用程序。
因为这可能是一个远程代码执行 (RCE) 漏洞，或者黑客可能已经利用了其他漏洞并上传了 web shell在某些 Web 应用程序中，并试图获得更多权限。