Как я понял опять shallshock

[gurvinok]

Здравствуйте!
Уже третью неделю меня долбят с разных IP вот таким запросом.

Код: [Выделить]

() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @В Linux я особо не силен, но вот что я попробовал сделать.
Если сделать запрос вида

Код: [Выделить]

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"То возвращается this is a test. Вроде все нормально.
А вот если сделать так

Код: [Выделить]

env x='() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @'То я получаю кучу данных которые не нужно знать сторонним людям. Знающих прошу помочь как с этим бороться.

[.ubuntufan]

Мда...
Откуда ты третью команду взял вообще?

А если сделать так:

Код: [Выделить]

env x="azaza"
Или просто

Код: [Выделить]

env

результат аналогичный

Понимаешь в чем дело? Это просто вывод команды env, вне зависимости от переданных аргументов.

Уже третью неделю меня долбят с разных IP вот таким запросом.

Алсо, не совсем понятно что за запрос. Это HTTP-запросы? Можешь привести заголовки запроса полностью? И используется ли на сервере устаревший CGI?

[gurvinok]

Откуда ты третью команду взял вообще?

Отсюда
Вот еще в 12:30

Код: [Выделить]

94.80.95.163 - - [21/Nov/2014:12:30:30 +0300] "GET /?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a HTTP/1.0" 200 11171 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H; /bin/uname -a"

[ArcFi]

gurvinok, вы пока только воздух сотрясаете.
Выполните тесты и озвучьте версию пакета bash:
https://forum.ubuntu.ru/index.php?topic=250379.msg1986254#msg1986254
Тогда будет, о чём говорить.

[gurvinok]

Вот

Код: [Выделить]

Testing /bin/bash ...
Bash version 4.3.11(1)-release

Variable function parser pre/suffixed [%%, upstream], bugs not exploitable
Not vulnerable to CVE-2014-6271 (original shellshock)
Not vulnerable to CVE-2014-7169 (taviso bug)
Not vulnerable to CVE-2014-7186 (redir_stack bug)
Test for CVE-2014-7187 not reliable without address sanitizer
Not vulnerable to CVE-2014-6277 (lcamtuf bug #1)
Not vulnerable to CVE-2014-6278 (lcamtuf bug #2)



[ArcFi]

Ну, вот, всё нормально.
Какие бы запросы боты ни слали, эта дырка для них закрыта.

[gurvinok]

А я вот еще не пойму. Пришел мне такой запрос из Питера, хостинг Инфобокс. Я им написал письмо мол что за безобразие. Они сказали что решат эту проблему. То есть атаки идут с уже пораженных серверов. Те на которые смогли пролезть? Очень часто из Франции ломятся. И почти все имеют нормальные сайты.
Вот моя статистика за две недели.

62.109.142.23 Чехия (Сайт)

87.117.215.158    Англия (Сайт) Apache/2.2.22 (Ubuntu) Server at 87.117.215.158 Port 80

31.210.122.186 Турция (есть сайты) Есть доступ  к серверу по SSH

14.63.167.173 Южная Корея (Сайт) Apache/2.2.15 (CentOS) Server at 14.63.167.173 Port 80 Есть доступ  к серверу по SSH

92.243.89.208 Россия Питер Хостинг Инфобоокс nginx/1.4.6 (Ubuntu) Есть доступ  к серверу по SSH

133.242.183.52 Япония (сайт)

153.121.47.69 Япония (Сайт) Apache Server at 153.121.47.69 Port 80 CentOS

212.83.157.218 Франция (Сайт) Есть доступ по SSH

66.207.212.113 Канада Apache/2.2.15 (CentOS) Server at 66.207.212.113 Port 80 Есть доступ пл SSH

94.80.95.163 Италия Доступ по SSH

[Sly_tom_cat]

gurvinok, ну их ломанули (во время не обновились), а тебя не смогут (у тебя все пофикшено).

Ставить ли владельцев взломанных сайтов в известность - исключительно твое личное дело.

[ArcFi]

То есть атаки идут с уже пораженных серверов. Те на которые смогли пролезть?

Да, это называется ботнетом.

Они сказали что решат эту проблему.

Сегодня одну решат — завтра 2 новые вылезут.
Положительного результата можно добиться только для подконтрольного вам железа.

[gurvinok]

Ну это уже проблемы Инфобокса, а я свои решаю. Надеюсь не пролезут, а то я спать спокойно не буду. Спасибо за помощь.