Qual é a variável de ambiente EGG?

Navegue suas respostas
2

Um usuário em nossos sistemas linux (openSuSE) tentou executar o sudo e disparou um alerta. Ele tem a variável de ambiente EGG set - 

EGG=UH211åH1ÒH»ÿ/bin/shHÁSH211çH1ÀPWH211æ°;^O^Ej^A_j<X^O^EÉÃÿ

Isso parece incomum para dizer o mínimo.

O EGG é uma variável de ambiente legítima? (Eu encontrei algumas referências para PYTHON_EGG_CACHE - poderia estar relacionado? Mas essa variável de ambiente não está definida para este usuário). Se é legítimo, então imagino que esse grupo tenha a melhor chance de reconhecê-lo.

Ou, dado o /bin/sh incorporado na cadeia acima, alguém reconhece isso como uma impressão digital de exploração? Não seria a primeira vez que tínhamos uma conta crackeada (suspiro).

    
por Randall 17.02.2011 / 23:26

1 resposta

5

Em alguns casos de explorações, a carga útil que faz com que a exploração seja executada pode ser muito pequena. Nesses casos, uma técnica comum é ter uma pequena carga de bootstrap que pode carregar uma carga útil distribuída de maneira diferente (essa carga útil maior não precisa acionar a exploração).

Em caso de sudo etc, o usuário tem controle do ambiente. Assim, o usuário pode entregar potencialmente uma carga útil maior usando o ambiente e ter a carga útil relevante pequena o suficiente, que pode então pesquisar / carregar o real.

Algumas cargas típicas de bootstrap procuram por uma variável de ambiente específica (como uma easter EGG HUNT) para carregar e assim seriam chamadas EGGS.

Veja aqui, por exemplo: link

Neste caso, parece que você encontrou um script kiddie

    
por 17.02.2011 / 23:41

Tags

Como evito que o PHP execute comandos shell? Configurando o iptables do Linux para conexões no modo FTP PASV