Shellshock攻撃をリアルタイムで見つけてくれるシステムモニタSysdig

シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。

以下、DegioanniのWebサイトより:

Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。

・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)

この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:

13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd

このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。

この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))