concept2 26 июня 2015 0 9
Доброго времени суток всем.
Нужна помощь. Столкнулся с проблемой. На литовском хостинге balticservers.com закрыли сайт armplast.eu за рассылку спама. Литовская техподдержка ничем помочь не захотела. Сам не являюсь большим специалистом. Товарищи помогли, в логах нашли вот такой запрос:

190.144.43.236 — - [24/Jun/2015:05:02:26 +0300] «GET /?x=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 301 239 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @"
190.144.43.236 — - [24/Jun/2015:05:02:27 +0300] «GET /?x=()%3fx=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 200 15227 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @"

Это, видимо, эксплойт.
Похоже, это и есть взлом.

HELP! Куда дальше копать? Эта проблема и уязвимость MODX (стоит версия MODX REVO 2.3.2) или вопросы к хостингу?
9 комментариев
Fi1osof1
Fi1osof 26 июня 2015г в 19:32 #
Смените хостинг, обновите версию MODX до последней, проверьте файлы в папках пользовательских файлов. Больше вам посоветовать нечего.
G
Ganaman 27 июня 2015г в 22:14 #
Уязвимость сервера. Это известная атака, Shellshock. www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
G
Ganaman 27 июня 2015г в 22:51 #
Кстати статья переведена на Хабрахабре, увлекательное чтиво habrahabr.ru/company/mailru/blog/238475/
Fi1osof1
Fi1osof 28 июня 2015г в 00:29 #
Судя по всему, дело — дрянь.
Fi1osof1
Fi1osof 28 июня 2015г в 00:33 #
Проверьте свой сервер, зайдите по SSH и выполните:
env X="() { :;} ; echo busted" bash -c "echo stuff"
Покажет busted или stuff?
c
concept2 28 июня 2015г в 10:21 #
пишет stuff.
Но за время моей переписки с литовцами они могли что-нибудь и сделать молча.
G
Ganaman 28 июня 2015г в 12:15 #
Либо обновились, либо Вас поломали другим способом.
c
concept2 29 июня 2015г в 09:43 #
Путем лести и шантажа удалось добиться помощи литовцев. С большой вероятностью проблема в вирусе на компе у кого-то из пользователей электронной почты, привязанной к сайту.
Fi1osof1
Fi1osof 30 июня 2015г в 00:40 #
То есть взлома сервера/сайта как такового нет?
Кстати, отправленные заголовки зловредные, попавшие в логи — это еще не факт, что этот зловредный код выполнился.
Авторизуйтесь или зарегистрируйтесь (можно через соцсети ), чтобы оставлять комментарии.