ShellShock–новая угроза вашим сайтам и обновляем Bash. Владельцы VPS должны это сделать обязательно!

Обновление BASH

Привет, друзья IdeaFox!

А что никто не пишет про новую головную боль всех блогеров и вебмастеров? Неужели никто не в курсе?

Ладно, тогда я напишу : ) Короче, друзья, обязательно проверьте свои хостинги на предмет уязвимости, которая получила название ShellShock. Проблема очень серьезная, и на западных форумах раздаются отчаянные вопли тех, кто уже пострадал.

В первую очередь должны напрячься владельцы VPS-серверов. У меня их три штуки – сегодня всю ночь напрягался вместе с техподдержкой трех крупнейших хостинг-компаний : )

Что это такое?

Вчера прошла информация, что была найдена очень серьезная уязвимость в Linux-системах, которая позволяет в автоматическом режиме ломать любой сервер, где есть эта проблема.

Уязвимость найдена в BASH. Не буду долго писать что это такое, так как эта тема выходит далеко за рамки тематики блога: ), а скажу как проверить сайт (точнее, хостинг)

Те, кто владеют английским, настойчиво рекомендую прочитать вот эту статью:

http://www.wordfence.com/blog/2014/09/major-bash-vulnerability-disclosed-may-affect-a-large-number-of-websites-and-web-apps/

Или на русском:

http://tjournal.ru/paper/bash-bug

Как проверить?

Крупные хостинг-компании уже обновили свои кластеры для клиентов на виртуальном хостинге, но проверить не помешает.

Настойчиво рекомендую сделать эту процедуру всем, кто держит свои сайты на VPS-хостинге. Напомню, что администрирование VPS-серверов лежит полностью на их владельцах, и никто там ничего обновлять не будет. Или будут, но за деньги.

Предупреждение: Все, что я показываю ниже, Вы можете сделать на свой страх и риск. Если есть малейшие сомнения, то обращайтесь в техподдержку хостинга и терзайте их вопросами : )

Нужно зайти на свой хостинг через SSH, и ввести следующие специальные команды

Для управления сервером через консоль я всегда использую программу Putty. Она очень простая и позволяет работать с консолью.

Нужно лишь ввести IP-адрес вашего сервера, и нажать кнопку “Open”

Программа Putty

Затем зайти под root на сервер используя:

  1. логин: root
  2. password: пароль от вашего хостинга или VPS-сервера (спрашивайте у хостера эти данные)

работа в консоли

После удачной авторизации на сервере вводим две команды:

export badvar='() { :;}; echo vulnerable'
bash -c "echo I am an innocent sub process in '$BASH_VERSION'"

То есть, сначала вводим первую команду, нажимаем Enter, а затем вторую команду и снова нажимаем Enter : )

проверка уязвимости в консоли

И после этого внимательно смотрим на экран, подготовив граненный стакан  успокоительного : )

Если проблемы нет, то увидите ответ сервера, который выделил желтым цветом:

ответ сервера

В этом случае можно не переживать и спокойно графоманить дальше : )

Если проблема есть, то на третьей строке увидите зловещую надпись:

vulnerable
I am an innocent sub process in 4.3.22(1)-release

Скриншот показать не могу, так как уязвимость была найдена на другом VPS-сервере (у меня их три штуки)и мгновенно устранена. В спешке не успел снять скрин…

Но если увидите ответ vulnerable, обязательно решайте эту проблему.

Как закрыть эту дыру безопасности?

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

У Вас есть три пути:

1. Ничего не делать, и рано или поздно поимеете проблемы.

2. Обратиться к хостеру, чтобы он устранил эту печаль. Если Вы используете VPS-сервер, то придется раскошелиться на сумму от 500 до 1000 рублей за час работы. На виртуальных тарифах хостеры уже начали закрывать дыры, но все равно уточните в поддержке этот момент.

3. Решать проблему самому на свой страх и риск, предварительно сделав резервную копию всего сайта, и сохранив его на компьютере.

Я выбрал третий вариант : ) и стал разбираться, что к чему.

Отмечу, что у меня везде установлена Linux CentOS 6.5  в качестве операционной системы сервера и обновление происходит командой

yum update bash

На Ubuntu, Debian и.т.д команды консоли другие. Если есть блогеры, которые используют эти ОС, то поделитесь в комментах своим опытом.

Итак, заходим по SSH на сервер под управлением Linux CentOS и набираем команду:

yum update bash

обновляем bash

После нажатия на “Enter” на экране пробегутся зловещие строки, а Вы почувствуете себя хакером : ).

В самом конце будет предложено подтвердить обновление BASH нажав на клавишу с английской буквой “Y”. Как нажмете на нее, вы сразу почувствуете себя Кевином Митником : )

обновляем centos

Опять побегут строчки с непонятными командами, а в конце увидите надпись Complete. Если надпись появилась, то все “ОК”, и вы просто молодец : )

Какие могут быть проблемы?

Увы, но я столкнулся с проблемами на одном из VPS-серверов, где обновление никак не ставилось. Пришлось пойти на радикальные меры, и полностью переустанавливать VPS + делать настройки сервера с нуля.

Поэтому я еще раз настойчиво делать резервную копию блога и обращаться к спецам, которые этим живут. Или терзать хостера.

Кстати, пользуясь случаем, поблагодарю поддержку компании “МакХост”, которая оперативно помогла с некоторыми проблемами при обновлении сервера. Парни из саппорта просто молодцы + профи своего дела. Не подумайте, что это проплаченная рекомендация – ни в коем случае.

В который раз убедился, что главный критерий хорошего хостинга –  это быстрая и профессиональная поддержка, а не нищебродская цена за тариф : )

Короче, друзья, обязательно проверьте свои сайты на предмет этой уязвимости и обязательно устраните её. Владельцы VPS-серверов должны решить эту проблему незамедлительно!

Удачного обновления : )

Обновление:

Команды для Debian

Для Debian пропатчить можно легко и просто 2 командами:

 apt-get update
 apt-get install bash

или полное обновление системы

 apt-get upgrade

На новости блога нужно подписаться здесь: http://ideafox.ru/podpiska

Еще для блогеров:

  1. Простой лайфхак для улучшения поведенческих факторов на сайте
  2. Грамотный способ снизить посещаемость. Можете сами проверить на своих блогах : )
  3. Похоже, новый вид атаки на WordPress. Очень советую напрячься всем блогерам

Только для блогеров и вебмастеров:

33 комментария к «ShellShock–новая угроза вашим сайтам и обновляем Bash. Владельцы VPS должны это сделать обязательно!»

  1. Мне бы такую голову, как у тебя, Дим. Нифика не понял кроме одного — это важно.
    Кстати, ищу новый хостинг, куда перейду после окончания проплаты своего нынешнего хостинга в конце декабря. Если этот МакХост позволяет делать бэкапы в авторежиме и помогает таким олухам как я — кинь ссылку на статью с твоей рефералкой, пойду посмотрю, с чем едят этого зверя.

  2. Интересно, я, конечно, давно вышел из ряда блоггеров, но имею онлайн-магазин. А если у меня на хостинге вообще отключен SSH и FTP (а Putty работает через SSH), меня эта проблема касается? =)

    • Привет, Денис)
      Давно тебя не слышал и не видел.
      Ага, касается. Здесь не важно SSH, а важна уязвимость BASH

      • Мой хостинг-провайдер FastVPS, как правило, всегда все делает сам. Вчера ночью отключали сервер на 2 часа, как я понял, занимались как раз этой проблемой. У меня с ними всегда так. Они уже разобрались, а я только понял, что это была за проблема))

      • Я тоже давно с тобой хочу пообщаться. Тем более, я теперь тоже бизнесмен)) Только вот не вижу тебя в Skype никогда.

        • Тоже давно тебя не видел и не слышал.
          Ты хоть покажи свой интернет магазин, интересно.

  3. Ну вот ведь(( В пятницу, уже так сказать, под вечер такое вывалить.. Пошёл проверять. Спасибо.

    • Ты на виртуальном хостинге, как понял — можешь не переживать. хостер сам обновит.
      А вот впс-ники сейчас суетятся)

        • Хм. У меня по статистике вроде все нормально (Мандрилл дает такое инфо)
          Но оповещения о новых комментах улетат в спам — это знаю и решаю…

    • Проблемы на этом сайте были.
      Дело в том, что здесь стоял Linux CentOS 6.2
      Bash обновился без проблем, а вот обновление до 6,5 прошло криво. Куча ошибок и решил полностью снести все к чертовой матери и перенастроил ВПС сегодня ночью.
      Чтобы узнать версию CENTOS можно ввести в консоли команду
      cat /etc/redhat-release
      Если хочешь обновить все пакеты (например, подняться с версии 6,4 до 6,5), то
      yum update
      И на все вопросы отвечаешь клавишей в английской раскладке «Y»
      Естественно, команды в этом комменте только для CENTOS и сначала полный бэкап)

  4. Затестил. Твои команды не работают, поравь кавычки — там вместо одинарной какая-то запятая затесалась. Обновился, выполнил, вот что получил:
    I: $’\302\253echo’: команда не найдена
    Не работает. Раз обнова была в репозитории безопасности дебиана, значит баг все же был (я не сразу допер про эти кавычки).
    На дебианах и убунтах это делается так:
    apt-get update && apt-get upgrade && apt-get dist-upgrade && apt-get autoremove
    Но не надо так паниковать: чтобы этим воспользоватся еще нужно доступ к серваку получить, т.е. сначала взломать ssh. Чтобы этого не случилось, нужен fail2ban.

    P.S. Удали мой предыдущий коммент, случайно по кнопке жмакнул.

    • Соглашусь с Агентом. Серьезность данной уязвимости несколько преувеличена. Это не Heartbleed. Но приятного все равно мало. Особенно учитывая тот факт, что данный баг мог эксплуатироваться не один десяток лет =)
      А Дмитрий оперативно инструкцию сделал, уважуха!

        • Ага, слежу за темой. Истерия в минувшие дни нарастала =) Масштаб конечно поражает.

          • Уровень опасности 10 из 10.
            Мне вот интересно, сколько еще закладок содержит GNU/GPL — софт? )
            Невольно про сервер на базе Windows задумался. Там хотя бы код закрытый

  5. Спасибо, Агент, оборвался твой коммент
    Видимо, вордпресс что-то свое вставляет
    Команды такие:
    export badvar='() { :;}; echo vulnerable'
    bash -c "echo I am an innocent sub process in '$BASH_VERSION'"

    Дебиан самыми первыми выпустили патч, как пишут на забогорных форумах

    • Вот теперь работает. Вот это получил:
      I am an innocent sub process in 4.2.37(1)-release
      Нет зловещей надписи)

  6. Дим, добавь в статью:
    Для Debian пропатчить можно легко и просто 2 командами:
    apt-get update
    apt-get install bash
    или полное обновление системы
    apt-get upgrade

  7. Нужно будет хостера «потрясти» — на счет этой темы… А то намедни «Макхост» меня «обрадовал» повышением тарифного плана со 109 рублей до 159. Более 40% — за 1 раз…Заявил в их суппорт: мол, дороговато. Они в ответ: рубль дешевеет — вот причина…А у меня, блин, рубль не дешевеет, да? Только у них… Ну, подняли бы процентов на 10, я бы понял, А так…В общем, буду рассматривать альтернативные варианты, хотя хостер, вроде бы, неплохо справляется со своими обязательствами…

    • Это да. Цену на виртуальный хостинг подняли.
      Правда, дисковый объем увеличили.

Оставить комментарий