Выпуск sysdig 0.1.89 с поддержкой выявления активности, связанной с атакой на bash
Представлен новый выпуск утилиты sysdig, предназначенной для диагностики проблем и изучения особенностей работы системы. В новом выпуске добавлен режим shellshock_detect для выявления активности в системе, вызванной совершением успешных атак, эксплуатирующих уязвимость в Bash (Shellshock). Кроме того, добавлена опция spy_file для отслеживания всех операций чтения и записи для любых файлов. Подробнее о возможностях sysdig можно прочитать в тексте первого анонса данной программы. В случае успешной атаки запуск «sysdig -c shellshock_detect» покажет примерно такой вывод:
TIME PROCNAME PID FUNCTION 13:51:18.779785087 apache2 2746 () { test;}; echo «Content-type: text/plain»; echo; echo; /bin/cat /etc/passwd 13:52:31.459230424 dhclient 2896 () { :;} ; echo busted С учётом использования bash в качестве интерпретатора по умолчанию (/bin/sh) во многих дистрибутивах Linux и подверженности уязвимости таких систем, как CPanel, опасность проблемы оценивается некоторыми экспертами безопасности как сопоставимая с Heartbleed-уязвимостью в OpenSSL. Например, в логах HTTP-серверов уже активно наблюдаются попытки эксплуатации уязвимости через передачу модифицированных Cookie или User-Agent, продемонстрированы успешные атаки на DHCP-клиентов и публичные репозитории Git/Subversion с доступом по SSH.
© OpenNet