26 июня 2015 г., 13:25

Уязвимость MODX или хостинге?

Доброго времени суток всем. Нужна помощь. Столкнулся с проблемой. На литовском хостинге balticservers.com закрыли сайт armplast.eu за рассылку спама. Литовская техподдержка ничем помочь не захотела. Сам не являюсь большим специалистом. Товарищи помогли, в логах нашли вот такой запрос:
190.144.43.236 — - [24/Jun/2015:05:02:26 +0300] «GET /?x=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 301 239 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" 190.144.43.236 — - [24/Jun/2015:05:02:27 +0300] «GET /?x=()%3fx=()?x=() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @ HTTP/1.0» 200 15227 "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @" "() { :; }; echo Content-type:text/plain;echo;echo;echo M`expr 1330 + 7`H;/bin/uname -a;echo @"
Это, видимо, эксплойт. Похоже, это и есть взлом.
HELP! Куда дальше копать? Эта проблема и уязвимость MODX (стоит версия MODX REVO 2.3.2) или вопросы к хостингу?
Смените хостинг, обновите версию MODX до последней, проверьте файлы в папках пользовательских файлов. Больше вам посоветовать нечего.
Уязвимость сервера. Это известная атака, Shellshock. www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
Кстати статья переведена на Хабрахабре, увлекательное чтиво habrahabr.ru/company/mailru/blog/238475/
Судя по всему, дело — дрянь.
Проверьте свой сервер, зайдите по SSH и выполните:
env X="() { :;} ; echo busted" bash -c "echo stuff"
Покажет busted или stuff?
пишет stuff. Но за время моей переписки с литовцами они могли что-нибудь и сделать молча.
Либо обновились, либо Вас поломали другим способом.
Путем лести и шантажа удалось добиться помощи литовцев. С большой вероятностью проблема в вирусе на компе у кого-то из пользователей электронной почты, привязанной к сайту.
То есть взлома сервера/сайта как такового нет? Кстати, отправленные заголовки зловредные, попавшие в логи — это еще не факт, что этот зловредный код выполнился.

Добавить комментарий