Är din server öppen för Shellshock buggen?
admin 
Det som kallas Shellshockbuggen upptäcktes den 24 September 2014 och är ett säkerhetsproblem som använder sig av bash och därför infekterar Unix/Linux system. Shellshock rankas som nummer 10 av totalt 10 på en skala av 1 till 10 där 10 är värst, av NIST.
Och då flera Unix/Linux distrubitioner, exempelvis Debian, installerar Bash som standard så är dom flesta maskiner påverkade.
För att se om denna buggen påverkar dig så ska du köra denna kod:
env x='() { :;}; echo vulnerable’ bash -c ”echo this is a test”
Om resultatet blir följande så är du utsatt:
Targenor@host:~# env x='() { :;}; echo vulnerable’ bash -c ”echo this is a test”
vulnerable
this is a test
Om resultatet blir så här, så är du inte påverkad.
Targenor@host:~# env x='() { :;}; echo vulnerable’ bash -c ”echo this is a test”
bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x’
this is a test
Om du nu skulle vara påverkad av buggen så är det bästa du kan göra att uppdatera systemet.
apt-get update
apt-get upgrade
Då buggen trots allt är några år gammal är det inte säkert den uppdaterar alla system idag (många nya release finns ute idag) dock lär det finnas bra många webmasters som inte uppdaterat sina system.
Hur vet du om du är infekterad av Heartbleed
Heartbled OpenSSL bugg är en allvarlig bugg som påverkar massor av Unix/linux maskiner, bland annat Debian. Man bör handla så fort som möjligt då man upptäckt att man har buggen, eftersom det finns människor som utnyttjar detta säkerhetshål och information sprids så fort som det bara går.
Problemet ligger i OpenSSL programvara för kryptering, buggen innebär att det är möjligt att stjäla information utan att bli sedd under normala omständigheter, genom SSL/TLS krypteringen som används för att surfa säkert på nätet. Heartbleed buggen tillåter vem som helst på nätet att läsa av minnet på dom maskinerna som använder den skadliga versionen av OpenSSL.
Det handlar om dom hemliga nycklarna som används för att identifiera tjänsten mot leverantören, och att kryptera trafiken, namn och lösenord för användare.
Detta tillåter exempelvis hackare att avlyssna på samtal, stjäla data direkt från datorerna eller uppträda som användare/system för att kunna lura andra användare/system.
Det är enkelt att använda sig av denna bugg för att stjäla information från infekterade system utan att ha någon som helst access till systemet.
Om du vill ta reda på om din server är infekterad och se vad den kan skicka ut för information så kan du använda pyton scriptet : hb-test.py
För att använda detta script måste du ha python installerat och sedan köra följande kommando
Ersätt www.example.org med den domän du vill testa.
På en infekterad maskin kommer du få ett resultat som påminner om detta:
Connecting…
Sending Client Hello…
Waiting for Server Hello…
… received message: type = 22, ver = 0302, length = 58
… received message: type = 22, ver = 0302, length = 2338
… received message: type = 22, ver = 0302, length = 525
… received message: type = 22, ver = 0302, length = 4
Sending heartbeat request…
… received message: type = 24, ver = 0302, length = 16384
Received heartbeat response:
0000: 02 40 00 D8 03 02 53 43 5B 90 9D 9B 72 0B BC 0C .@….SC[…r…
0010: BC 2B 92 A8 48 97 CF BD 39 04 CC 16 0A 85 03 90 .+..H…9…….
0020: 9F 77 04 33 D4 DE 00 00 66 C0 14 C0 0A C0 22 C0 .w.3….f…..”.
0030: 21 00 39 00 38 00 88 00 87 C0 0F C0 05 00 35 00 !.9.8………5.
0040: 84 C0 12 C0 08 C0 1C C0 1B 00 16 00 13 C0 0D C0 …………….
…
3fd0: 61 74 65 64 50 6C 75 67 69 6E 73 00 A8 02 00 00 atedPlugins…..
3fe0: 29 00 00 00 1C F0 AD B8 1C F0 AD B8 00 FD A8 B8 )……………
3ff0: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 …………….WARNING: server returned more data than it should – server is vulnerable!
Du kan även använda dig av OpenSSL versionen för att se om du är i farozonen
apt-cache policy openssl
Resultatet ser då ut som detta:
openssl:
Installed: 1.0.1e-2+deb7u4
Candidate: 1.0.1e-2+deb7u4
Version table:
*** 1.0.1e-2+deb7u4 0
500 http://ftp.uk.debian.org/debian/ wheezy/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u3 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
Version 1.0.1e-2+deb7u4 är infekterad så om du har den så bör du uppdatera systemet.
För att åtgärda detta behöver du enkelt uppdatera systemet
apt-get update
apt-get upgrade
Efter uppdatering kan du köra om kommandot för att se om uppdateringen gått igenom.
apt-cache policy openssl
Resultatet ska då se ut i stil med detta:
openssl:
Installed: 1.0.1e-2+deb7u6
Candidate: 1.0.1e-2+deb7u6
Version table:
*** 1.0.1e-2+deb7u6 0
500 http://security.debian.org/ wheezy/updates/main amd64 Packages
100 /var/lib/dpkg/status
1.0.1e-2+deb7u4 0
500 http://ftp.uk.debian.org/debian/ wheezy/main amd64 Packages
Version 1.0.1e-2+deb7u6 är åtgärdad och inte skadlig mot Heartbeat OpenSSL buggen
Partner links
Senaste inläggen
- Hur du installerar vsftpd
- Asus släpper Raspberry Pi-konkurrent
- Trojanen kapar Raspberry Pi-datorer och utvinner kryptovaluta
- Kriget bland microdatorerna fortsätter
- MailScanner
Arkiv
- februari 2018
- januari 2018
- december 2017
- november 2017
- oktober 2017
- september 2017
- augusti 2017
- juli 2017
- juni 2017
- maj 2017
- april 2017
- mars 2017
- februari 2017
- januari 2017
- december 2016
- november 2016
- oktober 2016
- september 2016
- augusti 2016
- juli 2016
- juni 2016
- maj 2016
- april 2016
- mars 2016
- februari 2016
