羅馬尼亞駭客利用Shellshock漏洞入侵雅虎，不小心打中Web log漏洞

安全研究人員，同時也是安全公司Future South總裁Jonathan Hall發現，包含雅虎在內的伺服器遭到羅馬尼亞駭客利用Shellshock漏洞進行攻擊，不過雅虎方面則指被入侵的伺服器並無Shellshock漏洞。

Hall監控到一個羅馬尼亞組織利用Shellshock及其他漏洞在Unix主機上建立僵屍網路，並利用IRC channel傳送指令給受影響的主機。受影響的主機包括Yahoo! Network、Lycos及Winzip.com等。

Hall說明，他一開始是在Google上搜尋還未修補Shellshock漏洞的主機，發現WinZip.com被駭客用於追蹤其他未修補的伺服器。他循線發現，羅馬尼亞駭客已入侵雅虎伺服器，並開始準備入侵廣受歡迎的Yahoo! Games伺服器。

發現問題後Hall除了向FBI通報，也聯絡雅虎、甚至以電子郵件、Twitter聯繫雅虎CEO Marissa Mayer。在給雅虎的信件中，他明白指出雅虎兩個受影響的主機位置及他追蹤的方法，但雅虎並沒有回應。

雅虎發言人首先對媒體表示，該公司的確發現3台伺服器遭駭客經由Shellshock漏洞攻擊入侵。不過後來雅虎資安長Alex Stamos隨後澄清，駭客攻擊的並非Shellshock漏洞。他指出，Yahoo Sport API 3台伺服器在周末遭到試圖尋找Shellshock的駭客攻擊，駭客修改了攻擊手法，繞過IDS/IDP系統或網頁防火牆，且剛好命中Sports團隊用來分析Web log並除錯的描述語言中的一個指令插入（command injection）瑕疵。Stamos表示，這項瑕疵只限於少數幾台機器，且已經修補，並將其特徵加入該公司程式碼掃瞄工具中，以強化未來防範。

Stamos聲稱，早在Shellshock等Bash弱點公佈後，雅虎即已立即並成功修補，而雅虎在發現入侵時將受影響的主機隔離，經研究發現並非一開始以為的Shellshock漏洞攻擊。如同第一次雅虎公關的說詞，他再次強調沒有使用者資料在這次入侵中遭到竊取。

Yahoo使用的防火牆，絕對不可能是幾萬塊錢＄＄的爛貨！很顯然，再怎樣高級的防火牆，也很難絕對防堵駭客！