Linux“Bash”漏洞大爆发 360发布漏洞检测方案

9月25日，国外曝出一个“毁灭级”的Bash漏洞，黑客可利用此漏洞远程执行任意命令，完全控制目标系统！

该漏洞编号为CVE-2014-6271，主要存在于bash 1.14 - 4.3版本中，受影响的系统包括：Red Hat企业Linux (versions 4-7) 、Fedora distribution、CentOS (versions 5-7)、Ubuntu 10.04 LTS,12.04LTS和14.04 LTS、Debian等。

经360安全中心分析验证，受此Bash漏洞影响最大的是网站和企业内网，以及一些路由器、VPN大型网站等网络设备。该漏洞暂未对安卓官方版本造成影响，但一些第三方Rom需要注意安全。

该漏洞可能被黑客制作成自动化攻击工具，从而针对网站、企业发动规模化攻击。由于漏洞攻击面广、影响范围大，其威胁丝毫不亚于OpenSSL心脏出血漏洞。

360安全中心已紧急发布“Bash”漏洞测试方法，同时提醒广大网站和企业及时更新服务器安全补丁，避免造成重大危险。

“Bash”漏洞测试方法

1）、本地测试

env x='() { :;}; echo vulnerable'bash -c "echo this is a test"

                              

2）、远程测试

首先用BASH写一个CGI

root@kali:/usr/lib/cgi-bin# cat bug.sh

#!/bin/bash

echo "Content-type: text/html"

echo ""

echo '<html>'

echo '<head>'

echo '<metahttp-equiv="Content-Type" content="text/html;charset=UTF-8">'

echo '<title>PoC</title>'

echo '</head>'

echo '<body>'

echo '<pre>'

/usr/bin/env

echo '</pre>'

echo '</body>'

echo '</html>'

exit 0

放到/usr/lib/cgi-bin里，然后用curl访问

能打印出环境变量了。说明能够正常访问了。下面反弹一个SHELL

访问看结果：

危险无处不在那，需要注意和防护！

一夜暴富，你可以的

最可怕的其实是出自动化攻击工具啊，这工具要是一出.......

可是360产品没有Liunx版本，希望能有一个！

感谢360安全中心!

{:5_143:}{:5_128:}

听安全专家，增加防范意识。

v宝贝

{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}{:4_93:}

上网就用360。安全啊。

听安全专家讲课，增加防范意识。

{:4_86:}{:4_86:}

看看，支持一下

听安全专家讲课，增加防范意识。

谢谢分享！！！

安全第一 就用360

{:4_93:}{:4_93:}{:4_93:}

安全第一 就用360

360的方案永远第一！

听安全专家讲课，增加防范意识。

安全第一 就用360

听安全专家讲课，增加防范意识。

安全第一 就用360

nzcq1 发表于 2014-9-25 18:10
可是360产品没有Liunx版本，希望能有一个！

+1                                 

支持360.

听安全专家讲课，增加防范意识。

安全第一 就用360

{:4_93:}{:4_93:}