The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск sysdig 0.1.89 с возможностью выявления активности, связанной с атакой через bash-уязвимость

26.09.2014 11:23

Представлен новый выпуск утилиты sysdig, предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса данной программы.

В случае успешной атаки запуск "sysdig -c shellshock_detect" покажет примерно такой вывод: 


   TIME                  PROCNAME              PID     FUNCTION
   13:51:18.779785087    apache2               2746    () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd
   13:52:31.459230424    dhclient              2896    () { :;} ; echo busted

С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Linux и подверженности уязвимости таких систем, как CPanel, опасность проблемы оценивается некоторыми экспертами безопасности как сопоставимая с Heartbleed-уязвимостью в OpenSSL. Например, в логах HTTP-серверов уже активно наблюдаются попытки эксплуатации уязвимости через передачу модифицированных Cookie или User-Agent, продемонстрированы успешные атаки на DHCP-клиентов и публичные репозитории Git/Subversion с доступом по SSH.

  1. Главная ссылка к новости (http://draios.com/shellshock-s...)
  2. OpenNews: Критическая уязвимость в bash, которая может привести к удалённому запуску команд (дополнено)
  3. OpenNews: Найден способ обхода патча, устраняющего уязвимость в bash
  4. OpenNews: Представлен sysdig, новый инструмент для диагностики системных проблем
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/40678-bash
Ключевые слова: bash, sysdig
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (10) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, iZEN (ok), 12:16, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    >С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах

    Но зачем? Чем неподходящий /bin/sh?

     
     
  • 2.5, Аноним (-), 19:41, 26/09/2014 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Зачем вы ездите на этих небезопасных и ломких автомобилях? На моей телеге сложно убиться и я могу ее отремонтировать прямо в сарае!
     

  • 1.3, Журналовращатель (?), 12:38, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    даже 10 лет назад это было уже не удобно. А в эмбеддовке - да, sh из состава бузибоха
     
  • 1.4, Аноним (-), 14:11, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    И в большинстве дистров его нет. А утилита для поиска уязвимостей и следов взлома же мастхев.
     
     
  • 2.6, Аноним (-), 19:42, 26/09/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > И в большинстве дистров его нет. А утилита для поиска уязвимостей и
    > следов взлома же мастхев.

    Утилита вообще умеет уйму всего - крутота.

     

  • 1.7, Аноним (-), 19:43, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > как сопоставимая с Heartbleed-уязвимостью в OpenSSL.

    Хуже! Достаточно получить IP с вражеского DHCP - и все, пиндык.

     
  • 1.8, pavlinux (ok), 21:34, 26/09/2014 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    > Installation
    > curl -s https://s3.amazonaws.com/download.draios.com/stable/install-sysdig | sudo bash

    Угу, а рута им не показать?

    ---
    Йопт, ещё им trace на сервере включить!!!

    sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
    sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
    sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
    sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
    sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
    sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)


    Нунах, rm -f /bin/bash безопаснее будет.

     
     
  • 2.9, Аноним (-), 22:06, 26/09/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    Чуть ниже manual install не додумался смотреть, сразу кричать в комменты полез?
     
  • 2.10, Аноним (-), 22:53, 26/09/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    > Угу, а рута им не показать?

    Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.

    > Йопт, ещё им trace на сервере включить!!!

    Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)

    > Нунах, rm -f /bin/bash безопаснее будет.

    Да что уж там, dd -if=/dev/zero -of=/dev/sdX будет надежнее. А то вдруг после твоего патча Барм... Баклана умрет не все? :)

     
     
  • 3.11, pavlinux (ok), 05:45, 28/09/2014 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Угу, а рута им не показать?
    > Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит.
    > Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
    >> Йопт, ещё им trace на сервере включить!!!
    > Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)

    Пля, прикинь, а мужики на наноядрах отлаживают, там не то что трассировки,
    там дамп памяти хрен сделаешь и брякпоинты не поставишь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру