シスアドミンのみなさま、Sysdigがあなたの味方です。ファウンダのLoris Degioanniが、彼のオープンソースのシステムモニタをアップデートして、Shellshock攻撃をリアルタイムで見つけられるようにした。Shellshockが悪用するHTTPリクエストはとてもユニークな形をしているので、このモニタはbashシェルに対するその攻撃を自動的に見つけて、ハッカーが侵入しようとしてるぞ、と教えてくれる。
以下、DegioanniのWebサイトより:
Sysdigを使ってすべてのbashの実行を捕捉するのは簡単だが、もっと作業を容易にするために、2時間ほどかけてSysdigをアップデートし、shellshock_detect(Shellshock検出)と呼ばれる新しい刃先をつけた。そのコードは、環境変数がShellshockのシグネチャと合致するbashの実行をすべて見つけて、以下をプリントする。
・時刻
・被害プロセスの名前とPID(悪質なペイロードで攻撃されbashを実行するプロセス)
・注入されたファンクション(bashがこれから実行するもの)
この‘刃先’の、実際に攻撃があったときの出力は、かなり複雑だ:
13:51:18.779785087 apache2 2746 () { test;};echo "Content-type: text/plain"; echo; echo; /bin/cat /etc/passwd
このコードは、Webサーバ(Apache)を利用して、パスワードファイルを匿名で盗もうとしている。こわいね。
この攻撃はHeartbleedなどに比べるとかなり難解だが、危険な問題であることは変わらない。アップデート情報に気をつけて、自分のシステムを確実にアップデートしておこう。
[原文へ]
(翻訳:iwatani(a.k.a. hiwa))