Оставляет ли уязвимость shellshock какие-либо следы в файлах журнала?

729
Tom Damon

Я исправил свои серверы, но я также хотел бы просмотреть свои журналы, чтобы увидеть, были ли какие-либо компромиссы на них. Есть ли какие-либо последовательные следы эксплойтов, использующих эту ошибку?

2
возможно, но нет общей подписи, потому что это ошибка выполнения произвольного кода. Злоумышленник может упаковать любую вредоносную полезную нагрузку в переменные окружения, которые он отравляет. Лучший вопрос, запускаете ли вы какие-либо скрипты CGI bin? в противном случае вам, в основном, нужно пройти аутентификацию через SSH, чтобы проверить свои журналы на наличие неожиданных входов ssh. Frank Thomas 10 лет назад 0

1 ответ на вопрос

2
Darren

Я поймал несколько попаданий в журналах с:

grep -r '"()' /var/log/httpd/ grep -r "'()" /var/log/httpd/
Обратите внимание, что используемые пути могут отличаться в зависимости от вашего фактического сервера, например, * lighttpd * будет использовать `/ var / log / lighttpd /`. Mario 10 лет назад 1

Похожие вопросы