- Come nella prima riga è visibile, ha provato a utilizzare il Shellshock falla di sicurezza del bash shell.
La sua idea era probabilmente la seguente: lo Shellschock funziona con variabili di ambiente, cioè in alcuni casi la bash eseguiva una variabile d'ambiente come una funzione di shell. E apache mappa i parametri delle richieste http (cookie, stringhe di query, argomenti pubblicati, ecc.) Alle variabili d'ambiente.
Se ci fosse stato uno script cgi sul tuo server scritto in bash e interpretato da una shell bash non fissata, i suoi comandi avrebbero potuto essere eseguiti.
-
Più tardi ha provato a eseguire diversi comandi di shell. Questi comandi avevano inviato il loro output su protocollo tcp o udp su un server sotto il suo controllo. È perché bash ha un meccanismo di reindirizzamento interno ai flussi di dati tcp e udp, cioè i file che iniziano con / dev / tcp / ip / port sono mappati ai socket di rete. È un meccanismo interno della shell bash.
-
Probabilmente non era un attacco manuale diretto, ma un tracciamento di robot per i server vulnerabili.
-
Gli indirizzi IP che ha usato probabilmente non sono i suoi server originali, ma quelli che può già controllare da remoto.