Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: Как я понял опять shallshock  (Прочитано 1733 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн gurvinok

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Как я понял опять shallshock
« : 21 Ноябрь 2014, 12:06:21 »
Здравствуйте!
Уже третью неделю меня долбят с разных IP вот таким запросом.
() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @В Linux я особо не силен, но вот что я попробовал сделать.
Если сделать запрос вида
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"То возвращается this is a test. Вроде все нормально.
А вот если сделать так
env x='() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @'То я получаю кучу данных которые не нужно знать сторонним людям. Знающих прошу помочь как с этим бороться.

Оффлайн .ubuntufan

  • Активист
  • *
  • Сообщений: 638
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #1 : 21 Ноябрь 2014, 12:23:43 »
Мда...
Откуда ты третью команду взял вообще?

А если сделать так:
env x="azaza"
Или просто
env

результат аналогичный

Понимаешь в чем дело? Это просто вывод команды env, вне зависимости от переданных аргументов.


Цитировать
Уже третью неделю меня долбят с разных IP вот таким запросом.

Алсо, не совсем понятно что за запрос. Это HTTP-запросы? Можешь привести заголовки запроса полностью? И используется ли на сервере устаревший CGI?
« Последнее редактирование: 21 Ноябрь 2014, 12:27:27 от .ubuntufan »

Оффлайн gurvinok

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #2 : 21 Ноябрь 2014, 12:56:57 »
Цитировать
Откуда ты третью команду взял вообще?
Отсюда
Вот еще в 12:30
94.80.95.163 - - [21/Nov/2014:12:30:30 +0300] "GET /?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a HTTP/1.0" 200 11171 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a"
« Последнее редактирование: 21 Ноябрь 2014, 13:04:08 от gurvinok »

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Как я понял опять shallshock
« Ответ #3 : 21 Ноябрь 2014, 13:02:47 »
gurvinok, вы пока только воздух сотрясаете.
Выполните тесты и озвучьте версию пакета bash:
https://forum.ubuntu.ru/index.php?topic=250379.msg1986254#msg1986254
Тогда будет, о чём говорить.

Оффлайн gurvinok

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #4 : 21 Ноябрь 2014, 13:07:13 »
Вот
Testing /bin/bash ...
Bash version 4.3.11(1)-release

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)


Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Как я понял опять shallshock
« Ответ #5 : 21 Ноябрь 2014, 13:14:36 »
Ну, вот, всё нормально.
Какие бы запросы боты ни слали, эта дырка для них закрыта.

Оффлайн gurvinok

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #6 : 21 Ноябрь 2014, 13:24:56 »
А я вот еще не пойму. Пришел мне такой запрос из Питера, хостинг Инфобокс. Я им написал письмо мол что за безобразие. Они сказали что решат эту проблему. То есть атаки идут с уже пораженных серверов. Те на которые смогли пролезть? Очень часто из Франции ломятся. И почти все имеют нормальные сайты.
Вот моя статистика за две недели.

62.109.142.23 Чехия (Сайт)

87.117.215.158    Англия (Сайт) Apache/2.2.22 (Ubuntu) Server at 87.117.215.158 Port 80

31.210.122.186 Турция (есть сайты) Есть доступ  к серверу по SSH

14.63.167.173 Южная Корея (Сайт) Apache/2.2.15 (CentOS) Server at 14.63.167.173 Port 80 Есть доступ  к серверу по SSH

92.243.89.208 Россия Питер Хостинг Инфобоокс nginx/1.4.6 (Ubuntu) Есть доступ  к серверу по SSH

133.242.183.52 Япония (сайт)

153.121.47.69 Япония (Сайт) Apache Server at 153.121.47.69 Port 80 CentOS

212.83.157.218 Франция (Сайт) Есть доступ по SSH

66.207.212.113 Канада Apache/2.2.15 (CentOS) Server at 66.207.212.113 Port 80 Есть доступ пл SSH

94.80.95.163 Италия Доступ по SSH

Оффлайн Sly_tom_cat

  • Don't worry, be happy!
  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 12068
  • Xubuntu 20.04 (64bit)
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #7 : 21 Ноябрь 2014, 13:35:05 »
gurvinok, ну их ломанули (во время не обновились), а тебя не смогут (у тебя все пофикшено).

Ставить ли владельцев взломанных сайтов в известность - исключительно твое личное дело.
« Последнее редактирование: 21 Ноябрь 2014, 13:36:51 от Sly_tom_cat »
Индикатор для Yandex-Disk: https://forum.ubuntu.ru/index.php?topic=241992
UEFI-Boot - грузимся без загрузчика: http://help.ubuntu.ru/wiki/uefiboot

Оффлайн ArcFi

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Re: Как я понял опять shallshock
« Ответ #8 : 21 Ноябрь 2014, 13:37:58 »
То есть атаки идут с уже пораженных серверов. Те на которые смогли пролезть?
Да, это называется ботнетом.

Они сказали что решат эту проблему.
Сегодня одну решат — завтра 2 новые вылезут.
Положительного результата можно добиться только для подконтрольного вам железа.
« Последнее редактирование: 21 Ноябрь 2014, 13:39:40 от ArcFi »

Оффлайн gurvinok

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: Как я понял опять shallshock
« Ответ #9 : 21 Ноябрь 2014, 13:40:11 »
Ну это уже проблемы Инфобокса, а я свои решаю. Надеюсь не пролезут, а то я спать спокойно не буду. Спасибо за помощь.

 

Страница сгенерирована за 0.144 секунд. Запросов: 24.