The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ShellShock"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Информационная безопасность (BSD привязка)
Изначальное сообщение [ Отслеживать ]

"ShellShock"  +/
Сообщение от Alex (??) on 03-Мрт-15, 17:37 
в логах на своем сервере нашел инфу что стучатся. по этой дырочке.
попробовал:
curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server Vulnerable"'
вроде как на консоли нету:
Warning: Server Vulnerable

пробовал:
curl -i -X HEAD "http://website" -A '() { :;}; ping -c10 192.168.1.100'
на себя, тоже ничего не увидел.

ОС FreeBSD Apache nginx

обновиться не могу. как можно подлотаться?
как понять что меня ломанули, или заботали?

Ответить | Правка | Cообщить модератору

Оглавление

  • ShellShock, PavelR, 20:19 , 03-Мрт-15, (1) +1  
    • ShellShock, Alex, 12:56 , 04-Мрт-15, (2)  
      • ShellShock, PavelR, 14:39 , 04-Мрт-15, (3)  
        • ShellShock, Alex, 23:36 , 04-Мрт-15, (4) –1  
          • ShellShock, PavelR, 09:17 , 05-Мрт-15, (5)  
            • ShellShock, Alex, 12:06 , 05-Мрт-15, (6)  
              • ShellShock, PavelR, 14:12 , 05-Мрт-15, (7)  
                • ShellShock, Alex, 00:01 , 06-Мрт-15, (8)  
                  • ShellShock, PavelR, 07:44 , 06-Мрт-15, (9)  

Сообщения по теме [Сортировка по времени | RSS]


1. "ShellShock"  +1 +/
Сообщение от PavelR (??) on 03-Мрт-15, 20:19 
>[оверквотинг удален]
> попробовал:
> curl -i -X HEAD "http://website" -A '() { :;}; echo "Warning: Server
> Vulnerable"'
> вроде как на консоли нету:
> Warning: Server Vulnerable
> пробовал:
> curl -i -X HEAD "http://website" -A '() { :;}; ping -c10 192.168.1.100'
> на себя, тоже ничего не увидел.
> ОС FreeBSD Apache nginx
> обновиться не могу. как можно подлотаться?

а разъясните, пожалуйста, разницу между "подлатать" и "обновиться"?

> как понять что меня ломанули, или заботали?

Подождать немного, появятся симптомы... сыпь трафика, слабость выполнения обычных задач, повышенная температура процессора. Возможна непроизвольная активность админов вашего провайдера.


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ShellShock"  +/
Сообщение от Alex (??) on 04-Мрт-15, 12:56 
мне нравятся Ваши шутки, и подколки.
я понимаю это хороший вариант само утвердиться и показать свою значимость в этой ситуации передо мной. но давайте будем менее эмоциональны, и более конструктивны. ну пожалуйста.

из моих экспериментов получается что у меня система оказалась не уязвимой.
или я ее не так тестил?

прежде чем бится головой об стену, надо понять эту необходимость.

пока я ее не вижу. но больше меня пугает не замечания асберга о котором все говорят.
мне, если честно не совсем до конца в нюансах ясен механизм. а еще более не ясно что та система которая вроде как должна быть уязвима. у меня выстаивает.

не ужели ни кто с тим не сталкивался? и все только обновлялись и патчились???

а не совсем еще пока понимаю как апач передает выполнение в баш, и что может начудить пользователь www ...

разскажите хоть что! а то у меня одни только нестыковки!


Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ShellShock"  +/
Сообщение от PavelR (??) on 04-Мрт-15, 14:39 
> из моих экспериментов получается что у меня система оказалась не уязвимой.

На мой взгляд, это показало только то, что конкретный запрос не является уязвимым.
Является ли неуязвимой _вся система_ - он не покажет.

> или я ее не так тестил?

Берем гугл в руки, ищем shellshock.

Находим примерно такую статью, одну из многих:

http://habrahabr.ru/company/mailru/blog/238475/

В ней есть в том числе и ссылка на инструмент проверки:

Универсальный скрипт для проверки на наличие уязвимостей github.com/hannob/bashcheck

Он проверяет непосредственно баш, а не цепочку apache-какие_то_скрипты_если_они_есть-bash, соответственно ....

> прежде чем биться головой об стену, надо понять эту необходимость.

Вот воспользуйтесь инструментами проверки и поймете её необходимость.

> мне, если честно не совсем до конца в нюансах ясен механизм.

Нужно больше читать.

> еще более не ясно что та система которая вроде как должна
> быть уязвима. у меня выстаивает.

Всё зависит от того, как обрабатываются запросы (каким кодом).

> не ужели ни кто с тим не сталкивался? и все только обновлялись
> и патчились???

С чем именно сталкивались/не сталкивались?

> а не совсем еще пока понимаю как апач передает выполнение в баш,

Выполнение в баш передается, если при обработке запроса каким-либо образом используются команды интерпретатора. Даже если ваши скрипты их не вызывают напрямую,
интерпретатор может быть вызван где-нибудь внутри какого-нибудь библиотечного кода.

> разскажите хоть что! а то у меня одни только нестыковки!

Ну так задавайте именно конкретные вопросы.

> и что может начудить пользователь www ...

В интернетах много чего написано, в том числе и то
1) как после получения доступа к одному пользователю поднять привилегии до root.
2) информация, доступная www может быть ценной.
3) Можно начать рассылать к примеру спам
4) можно модифицировать чуток файлов ваших сайтов, и они начнут распространять малварь / рекламу и т д

5) Еще придумать? Оно вам надо? А людям надо, они на этом деньги зарабатывают, так что не думайте "да кому я нужен".

Рекомендую пойти и почитать интернеты.
Может быть кто-то посоветует конкретное что-то, но не я.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ShellShock"  –1 +/
Сообщение от Alex (??) on 04-Мрт-15, 23:36 
Bash уязвим, это не ходи к гадалке.
Cgi скриптов у меня нету. По красной мере я так думаю.
Есть php. Чего внем боятся ? Готов по грепить на наличие опасных команд.
Очень интересует момент запуск баша через апач или моды. Пока что ни чего не нашел на эту тему, ищу.
Про хабр спасибо, читал, немножко нето. Сейчас гуглюсь и яндексюсь. В планах обновиться, но сейчас прям нету времени.
Планирую поискать изменения в файл по времени. И я так понимаю должен быть отредактирован конфиг апача с запуском какого то файла с расширением htmlk например через перл, этот файлик где то спрятан? А внем уданенный шел скрипт.
Так жесть мысль резать что нибудь на прокси nginx  или на роутере. Но что то эту идею ни кто в инете не рассматривает.

А задача у меня сейчас стоит в том как защититься от атаки на мой уязвимый баш.
Или это не возможно?
С помощью каких мер?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ShellShock"  +/
Сообщение от PavelR (??) on 05-Мрт-15, 09:17 
> Bash уязвим, это не ходи к гадалке.
> Cgi скриптов у меня нету. По красной мере я так думаю.
> Есть php. Чего внем боятся ? Готов по грепить на наличие опасных
> команд.

Расширение/модуль php/используемые ими библиотеки (вообще не относящиеся к php) могут использовать выполнение команд как часть реализации своего функционала.

> Так жесть мысль резать что нибудь на прокси nginx  или на
> роутере. Но что то эту идею ни кто в инете не
> рассматривает.

Эту идею рассматривают все, кто настраивает файрволлы. Правда чаще всего исходящие соединения не фильтруют, а именно это и стоит сделать.

> А задача у меня сейчас стоит в том как защититься от атаки
> на мой уязвимый баш.

Лучше всё-таки его обновить. Это не так сложно.

> Или это не возможно?

Абсолютная защита невозможна. Всё зависит от того, чем у вас есть поживиться взломщикам.

> С помощью каких мер?

Можно отключить сервер от сети.
Можно составить таблицу видов и возможных целей атак, затем уже принять меры по защите.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ShellShock"  +/
Сообщение от Alex (??) on 05-Мрт-15, 12:06 
> Лучше всё-таки его обновить. Это не так сложно.

вопрос как? ОС FreeBSD  старенька 7 или 8 а может даже 6.
обновление дерева портов? да потом вообще ничего не соберется. потянется все к ядру. да и ветки старые .. не помню они поддерживаются ли .. надо проверить пропатченный ли? какой версии? или самому накладывать. ну как всегда, убить а потом героически востанавливать!

проще на другой машинке собрать новый сервачок, там по идее уже должны быть все патки. правильно я понимаю? а потом с копировать конфиги.. хотя они тоже отличаться будут, ех опять ручками придется работать...

бросьте Ваш вариант ссылки не сложного обновления. а то мне только проблемные пока попадаются.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ShellShock"  +/
Сообщение от PavelR (??) on 05-Мрт-15, 14:12 
1) Можно сохранить имеющееся дерево портов и раскатать рядом обновленное, потом вернуть обратно.
2) Можно найти патч под нужную версию bash подложить в нужное место / обновить порт вручную
3) Можно собрать бинарь баша вообще мимо портов и положить в нужное место, если уж нужно.


> бросьте Ваш вариант ссылки не сложного обновления. а то мне только проблемные
> пока попадаются.

таких ссылок у меня нет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ShellShock"  +/
Сообщение от Alex (??) on 06-Мрт-15, 00:01 
Хм!!!!
В frebsd по умолчанию c-shell а он не подвержен этой уязвимости!
А вот в линухах bash по умолчанию! А он подвержен.

Ура ура ура!
Интересно кто то может подтвердить безопасность c-shell ?
Читают кто нибудь из фрибсдешников эту ветку?


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ShellShock"  +/
Сообщение от PavelR (??) on 06-Мрт-15, 07:44 
> Хм!!!!
> В frebsd по умолчанию c-shell а он не подвержен этой уязвимости!
> А вот в линухах bash по умолчанию! А он подвержен.
> Ура ура ура!
> Интересно кто то может подтвердить безопасность c-shell ?
> Читают кто нибудь из фрибсдешников эту ветку?

например в Debian теперь тоже не bash, а dash по-умолчанию.

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor