問題タブ [shellshock-bash-bug]

Apache2 ログ ファイルを解析したいのですが、以下の正規表現を使用して、それ以外の場合は適切な正規表現をここで見つけました。

問題は、この正規表現が shellshock ハック ボットよりも前のものであり、文字列が以下に送信されたようなユーザー エージェント文字列に対して一致を返さないことです。

bash 攻撃の悪い例:

通常のログ行は次のとおりです。

誰かがハッキングされたユーザー エージェント文字列を処理する更新された正規表現を提供できますか、または代替の 2 ステップの php - regexp をよりハッキングの証拠にすることを提案できますか? 特定の問題は \" の処理に関連していることがわかり、最後の正規表現は "(.*)"$ に置き換えることができるようですが、専門家の意見が欲しいです...ありがとう。

nginx ウェブサーバーに問題があります

1 日に 1 回、一部のクライアントがランダムな Web ページ (悪いページ) にリダイレクトされます。マルウェア、ウイルスをチェックしましたが、何も表示されません。

しかし、最近 CDorked 感染について読み、それを検出するためのツールをインストールし、手動で実行しました... しかし、何も起こりませんでした。

そのため、シェルショックについてサーバーをスキャンしたところ、脆弱でした..

私の質問は.. シェルショックが私のクライアントを他のウェブサイトにリダイレクトすることはできますか? それとも、攻撃者がそこからいくつかのバイナリに感染したのでしょうか?

ありがとう

システムの Shellshock 脆弱性を悪用しようとして、興味深い問題に遭遇しました。この脆弱性を悪用するために「wget」を使用しています。私が使用しているコマンドは次のとおりです。

上記のコマンドを使用すると、脆弱性が予想どおりに表示されます。ただし、.cgi ファイルではないファイルを wget しようとすると、脆弱性は表示されず、ファイルのみがダウンロードされます。

私が理解していることから、 wget は User-Agent 文字列を、コードを実行するコマンドで渡された値に設定する必要があり、/bin/cat /etc/passwdこれがダウンロードされるファイルの性質とどのように関係しているのかわかりません。

前もって感謝します。

現在、スクリプトに問題がありますが、正しい構文がわかりません。bash への shellshock パッチでスクリプトが壊れていると思いますが、確認したいだけです。

シェルショック パッチ以降、bash 関数をエクスポートする正しい方法は何ですか。そして、パッチの前の正しい方法は何でしたか?

ここに私が探しているもののいくつかの例があります。

A.

B

C

Ubuntu 14.04 から 16.04 に移行するときに、エクスポートされた関数が見つからないために、いくつかの Bash スクリプトが失敗していることに気付きました。これはシェルショックのバグの修正に関係しているのでしょうか, 私は関数を単純に説明export -fし、Bash 内部の関数表現に依存していません. 障害は、間に別のプロセスがある場合にのみ、直接の Bash サブシェルでは発生しません。たとえば、 awk / Perl / Vim を呼び出す Bash は別の Bash を呼び出します。Perl の例を次に示します。

良い

悪い

私は何か間違ったことをしていますか、それともこれはバグですか?

編集：@chepnerは、Bashが特別な名前のシェル識別子を使用して関数を保存していることを指摘しました。dash(0.5.8-2.1ubuntu2、0.5.7-4ubuntu1 での作業) を通過すると、これらの識別子は削除されます。でksh、それらは生き続けます。で確認しました

:set shell=/bin/bash同様に、Vim の動作は/で変更できます。:set shell=/bin/ksh

それで、dash責任がありますか？

シェルショックの悪用可能なリクエストで常に 500 レスポンスをチェックするのはなぜですか? なぜ 200、301 などではないのですか?