安全研究人员 Jonathan Hall近日声称发现了一个罗马尼亚黑客搭建的僵尸网络,利用Shellshock漏洞控制了大量知名互联网公司的服务器,包括雅虎和压缩工具软件WinZip的官网。
Jonathan Hall最近发布了雅虎服务器的漏洞报告,并透露雅虎已经承认有两台游戏服务器(dip4.gq1.yahoo.com和api118.sports.gq1.yahoo.com)被僵尸网络入侵并取得root权限。
据Hall透露,发现雅虎僵尸服务器事出偶然。当时Hall正在追踪扫描Hall所在公司服务器CGI服务器脚本Shellshock漏洞的请求, 利用该漏洞攻击者可以向服务器操作系统发送指令,从而远程控制服务器。Hall追踪攻击扫描至WinZip.com的一台服务器,然后Hall也利用 bash漏洞入侵了该服务器,并在服务器活动进程中发现一个名为ha.pl的Perl脚本。
通过分析该脚本内容,Hall发现这是一个类似在IRC服务器上发起DDoS攻击的IRC僵尸网络,但进一步分析后Hall发现该僵尸网络更加强调通过shell互动对服务器的远程控制,通过IRC代码向一个IRC频道汇报,内容中有大量的罗马尼亚文。
Hall随后使用Perl脚本中获得的信息连上了僵尸网络的IRC通讯频道,通过对IRC流量的监控,Hall发现很多bot流量来自一些大型互联网公司的服务器,包括lycos.com和yahoo.com。
Hall还通过Google搜索发现大量存在Shellshock漏洞的网站服务器都成了这个僵尸网络的一部分。Hall表示:
通过Google搜索发现,几乎每个没有修补漏洞的网站在cig-bin或/tmp或/var/tmp目录中包含了一个用 于连接IRC命令控制服务器的.pl脚本。其中一些脚本有自扩散能力,类似google搜索,但是功能更加专一,至搜索特定的域名后缀例 如.com\.nz\.co.uk\.jp等。
Hall的发现表明,bash shellshock漏洞已经开始被黑客广泛利用,攻击者利用Google搜索等工具发现服务器漏洞并大量植入后门。需要担心的不仅仅是大型互联网公司的 安全团队,个人用户也需要提防Shellshock漏洞的冲击。FireEye已经发出警告,黑客正利用Bash Shellshock补丁窗口期针对QNAP NAS等嵌入式设备进行攻击。
Gitlab-shell 受 Bash CVE-2014-6271 漏洞影响
解决办法是升级 Bash,请参考这篇文章。