[Security] Serangan pada bug ShellShock melalui PHP-CGI

Sebelum lebih jelas bercerita tentang serangan shellshock ini, ada baiknya juga membaca cerita ini:

http://en.wikipedia.org/wiki/Shellshock_(software_bug)
http://www.troyhunt.com/2014/09/everything-you-need-to-know-about.html
https://shellshocker.net/

Shellshock ini bug yang dirilis kisah vulnerability-nya pada sekitar akhir 2014. Shellshock ini menyerang beberapa service network yang memiliki kemampuan execute command dari sisi client, dengan otentifikasi lemah. Shellshock ini merupakan bug keluarga dari bash bug. Shellshock paling deras menyanyerang webserver Apache yang menjalankan PHP-CGI. Sementara PHP-CGI banyak digunakan oleh layanan hosting untuk melayani multiversi PHP permintaan para client. Perhatikan pada attachment berikut:


Ini adalah salah satu bentuk serangan terhadap bug kelemahan shell-shock. Pada kasus ini tampak jelas sekali saat si webserver tersebut berhasil ditest oleh si penyerang, maka si penyerang akan membuat sesuatu pada directory /tmp atau /var/tmp, dan mendownload suatu bash-shell pada tmp tersebut. Saya telah mencoba download salah satu file yang dieksekusi dalam command tersebut.

shellshoc

Saya kemudian membaca perintah-perintah shellnya.

Saya coba deh execute :D .. dengan menggunakan /tmp. Saya move ke tmp dulu dan saya eksekusikan :D

sh y.gif

Pertama si program akan mendownload nynews.gif dari sebuah tempat, dan diekstrak dalam tmp, sekaligus dieksekusi. Isi filenya adalah berupa database IP Address dan user password, dan sekaligus akan meng-ssh- kan dan menyimpan dalam database tertentu. Kebetulan sih, permission di komputer saya lumayan nyebelin, jadi saat di netstat tidak muncul serangan SSH dari komputer saya ke IP-IP dalam t.log itu :D

shellshoc1

shellshoc2
shellshoc3
shellshoc4
shellshoc5

ya sih, aksinya cuma melakukan SSH ke lain tempat. Kalau sampai melakukan root cracking di komputer kita lantas bagaimana :D .. Nah, sebaiknya mulai ditanggulangi. Sekuat tenaga saja..

Untuk menanggulangi hal ini, jika sudah terlanjur menggunakan PHP-CGI, bisa diantisipasi dengan beberapa cara. Update PHP-CGI menjadi PHP-FastCGI, dan atau menambahkan reverse-proxy di depan webserver Apache anda. GET yang dilakukan oleh si penyerang hanya akan dilayani oleh reverse-proxy (nGinX misal) dan tidak akan dilanjutkan pada Apache anda. Tentu dengan konfigurasi tertentu.

Sekian dulu.. Lain kali diupdate :D

2 thoughts on “[Security] Serangan pada bug ShellShock melalui PHP-CGI

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">