Представлен (http://draios.com/shellshock-sysdig/) новый выпуск утилиты sysdig (http://www.sysdig.org/), предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен (https://github.com/draios/sysdig/releases/tag/0.1.89) режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (https://www.opennet.ru/opennews/art.shtml?num=40667) (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса (https://www.opennet.ru/opennews/art.shtml?num=39492) данной программы.
В случае успешной атаки запуск "sysdig -c shellshock_detect" покажет примерно такой вывод:
<font color="#461b7e">
TIME PROCNAME PID FUNCTION
13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd
13:52:31.459230424 dhclient 2896 () { :;} ; echo busted
</font>С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Linux и подверженности уязвимости таких систем, как CPanel, опасность проблемы оценивается некоторыми экспертами безопасности как сопоставимая с Heartbleed-уязвимостью (https://www.opennet.ru/opennews/art.shtml?num=39518) в OpenSSL. Например, в логах HTTP-серверов уже активно наблюдаются попытки эксплуатации уязвимости через передачу модифицированных Cookie или User-Agent, продемонстрированы (https://www.trustedsec.com/september-2014/shellshock-dhcp-rc.../) успешные атаки на DHCP-клиентов и публичные репозитории Git/Subversion с доступом по SSH.
URL: http://draios.com/shellshock-sysdig/
Новость: https://www.opennet.ru/opennews/art.shtml?num=40678
>С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивахНо зачем? Чем неподходящий /bin/sh?
Зачем вы ездите на этих небезопасных и ломких автомобилях? На моей телеге сложно убиться и я могу ее отремонтировать прямо в сарае!
даже 10 лет назад это было уже не удобно. А в эмбеддовке - да, sh из состава бузибоха
И в большинстве дистров его нет. А утилита для поиска уязвимостей и следов взлома же мастхев.
> И в большинстве дистров его нет. А утилита для поиска уязвимостей и
> следов взлома же мастхев.Утилита вообще умеет уйму всего - крутота.
> как сопоставимая с Heartbleed-уязвимостью в OpenSSL.Хуже! Достаточно получить IP с вражеского DHCP - и все, пиндык.
> Installation
> curl -s https://s3.amazonaws.com/download.draios.com/stable/install-... | sudo bashУгу, а рута им не показать?
---
Йопт, ещё им trace на сервере включить!!!sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_unregister (err 0)
sysdig_probe: Unknown symbol tracepoint_probe_register (err 0)
Нунах, rm -f /bin/bash безопаснее будет.
Чуть ниже manual install не додумался смотреть, сразу кричать в комменты полез?
> Угу, а рута им не показать?Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит. Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
> Йопт, ещё им trace на сервере включить!!!
Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)
> Нунах, rm -f /bin/bash безопаснее будет.
Да что уж там, dd -if=/dev/zero -of=/dev/sdX будет надежнее. А то вдруг после твоего патча Барм... Баклана умрет не все? :)
>> Угу, а рута им не показать?
> Ващет оно для получения столь подробных сведений - свой ядерный модуль грузит.
> Кстати достаточно несложно билдуется из сорцов, если уж на то пошло.
>> Йопт, ещё им trace на сервере включить!!!
> Погоди, а ты хотел продвинутый трассировщик без трассировки? Ну ты крут! :)Пля, прикинь, а мужики на наноядрах отлаживают, там не то что трассировки,
там дамп памяти хрен сделаешь и брякпоинты не поставишь.